TRITON / TRISIS
O que é TRITON / TRISIS?
TRITON / TRISISMalware descoberto em 2017 que atacou sistemas instrumentados de segurança Triconex da Schneider numa petroquímica saudita, atribuído a um ator ligado à Rússia.
O TRITON (também chamado TRISIS ou HatMan) é o primeiro malware publicamente divulgado especificamente desenhado para atacar um sistema instrumentado de segurança (SIS). Em 2017 foi descoberto em estações de engenharia de uma petroquímica na Arábia Saudita, onde comunicava com controladores Triconex da Schneider Electric através do protocolo proprietário TriStation. Os atacantes carregaram uma payload personalizada («inject.bin») no firmware do SIS para reprogramar a lógica de segurança ou forçar um estado inseguro; uma inconsistência lógica fez disparar a paragem segura, expondo a campanha. As autoridades dos EUA atribuíram publicamente o TRITON ao instituto russo TsNIIKhM. O incidente levou a indústria a reforçar a separação SIS/BPCS e a implantar IDS específicos para SIS.
● Exemplos
- 01
Upload de payload maliciosa via TriStation para controladores Triconex MP3008.
- 02
Reprogramação da lógica SIS para que uma condição insegura deixasse de disparar a paragem da fábrica.
● Perguntas frequentes
O que é TRITON / TRISIS?
Malware descoberto em 2017 que atacou sistemas instrumentados de segurança Triconex da Schneider numa petroquímica saudita, atribuído a um ator ligado à Rússia. Pertence à categoria OT / ICS / IoT da cibersegurança.
O que significa TRITON / TRISIS?
Malware descoberto em 2017 que atacou sistemas instrumentados de segurança Triconex da Schneider numa petroquímica saudita, atribuído a um ator ligado à Rússia.
Como funciona TRITON / TRISIS?
O TRITON (também chamado TRISIS ou HatMan) é o primeiro malware publicamente divulgado especificamente desenhado para atacar um sistema instrumentado de segurança (SIS). Em 2017 foi descoberto em estações de engenharia de uma petroquímica na Arábia Saudita, onde comunicava com controladores Triconex da Schneider Electric através do protocolo proprietário TriStation. Os atacantes carregaram uma payload personalizada («inject.bin») no firmware do SIS para reprogramar a lógica de segurança ou forçar um estado inseguro; uma inconsistência lógica fez disparar a paragem segura, expondo a campanha. As autoridades dos EUA atribuíram publicamente o TRITON ao instituto russo TsNIIKhM. O incidente levou a indústria a reforçar a separação SIS/BPCS e a implantar IDS específicos para SIS.
Como se defender contra TRITON / TRISIS?
As defesas contra TRITON / TRISIS costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para TRITON / TRISIS?
Nomes alternativos comuns: TRITON, TRISIS, HatMan.
● Termos relacionados
- ot-iot№ 957
Sistema Instrumentado de Segurança (SIS)
Sistema de controlo independente que leva o processo a um estado seguro quando as variáveis ultrapassam limites definidos, protegendo pessoas, ambiente e ativos.
- ot-iot№ 529
Sistema de Controlo Industrial (ICS)
Termo abrangente para sistemas que automatizam e supervisionam processos industriais, incluindo SCADA, DCS, PLC, RTU e controladores de segurança.
- ot-iot№ 1111
Stuxnet
Worm altamente sofisticado revelado em 2010 que sabotou as centrífugas de enriquecimento de urânio iranianas ao reprogramar PLC Siemens, atribuído aos EUA e a Israel.
- ot-iot№ 530
Industroyer / CrashOverride
Malware ICS modular usado no ataque à rede elétrica ucraniana de 2016 e atualizado como Industroyer2 em 2022, capaz de comunicar nos protocolos nativos da rede.
- ot-iot№ 762
Tecnologia Operacional (OT)
Hardware e software que monitorizam e controlam processos físicos, equipamentos e infraestruturas como fábricas, centrais elétricas e utilities.
- ot-iot№ 513
IEC 62443
Família de normas IEC sobre cibersegurança de sistemas de automação e controlo industrial, dirigida a proprietários de ativos, integradores e fornecedores de produto.