TRITON / TRISIS
Что такое TRITON / TRISIS?
TRITON / TRISISОбнаруженное в 2017 году ВПО, атаковавшее системы противоаварийной защиты Triconex производства Schneider на нефтехимическом заводе в Саудовской Аравии; связывается с группой, имеющей российские корни.
TRITON (также TRISIS или HatMan) — первое публично раскрытое ВПО, целенаправленно атакующее системы противоаварийной защиты (SIS). В 2017 году его обнаружили на инженерных станциях нефтехимического завода в Саудовской Аравии: оно взаимодействовало с контроллерами Schneider Electric Triconex по проприетарному протоколу TriStation. Атакующие загрузили в прошивку SIS специальный пейлоад («inject.bin»), стремясь либо переписать логику безопасности, либо вызвать опасное состояние; рассогласование логики привело к аварийному останову завода, что и обнаружило кампанию. Власти США публично связали TRITON с российским государственным исследовательским институтом ЦНИИХМ. После инцидента отрасль усилила разделение SIS и BPCS и начала внедрять SIS-ориентированные системы обнаружения вторжений.
● Примеры
- 01
Загрузка вредоносного пейлоада в контроллеры Triconex MP3008 по протоколу TriStation.
- 02
Попытка переписать логику SIS, чтобы опасное состояние больше не приводило к аварийному останову.
● Частые вопросы
Что такое TRITON / TRISIS?
Обнаруженное в 2017 году ВПО, атаковавшее системы противоаварийной защиты Triconex производства Schneider на нефтехимическом заводе в Саудовской Аравии; связывается с группой, имеющей российские корни. Относится к категории OT / ICS / IoT в кибербезопасности.
Что означает TRITON / TRISIS?
Обнаруженное в 2017 году ВПО, атаковавшее системы противоаварийной защиты Triconex производства Schneider на нефтехимическом заводе в Саудовской Аравии; связывается с группой, имеющей российские корни.
Как работает TRITON / TRISIS?
TRITON (также TRISIS или HatMan) — первое публично раскрытое ВПО, целенаправленно атакующее системы противоаварийной защиты (SIS). В 2017 году его обнаружили на инженерных станциях нефтехимического завода в Саудовской Аравии: оно взаимодействовало с контроллерами Schneider Electric Triconex по проприетарному протоколу TriStation. Атакующие загрузили в прошивку SIS специальный пейлоад («inject.bin»), стремясь либо переписать логику безопасности, либо вызвать опасное состояние; рассогласование логики привело к аварийному останову завода, что и обнаружило кампанию. Власти США публично связали TRITON с российским государственным исследовательским институтом ЦНИИХМ. После инцидента отрасль усилила разделение SIS и BPCS и начала внедрять SIS-ориентированные системы обнаружения вторжений.
Как защититься от TRITON / TRISIS?
Защита от TRITON / TRISIS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия TRITON / TRISIS?
Распространённые альтернативные названия: TRITON, TRISIS, HatMan.
● Связанные термины
- ot-iot№ 957
Противоаварийная система (SIS)
Независимая система управления, переводящая процесс в безопасное состояние при выходе контролируемых параметров за допустимые пределы — защищает людей, среду и оборудование.
- ot-iot№ 529
Промышленная система управления (ICS)
Обобщённый термин для систем автоматизации и надзора за промышленными процессами, включая SCADA, DCS, ПЛК, RTU и системы противоаварийной защиты.
- ot-iot№ 1111
Stuxnet
Высокотехнологичный червь, обнаруженный в 2010 году; перепрограммировал ПЛК Siemens и вывел из строя иранские центрифуги обогащения урана. Авторство приписывают США и Израилю.
- ot-iot№ 530
Industroyer / CrashOverride
Модульное ICS-ВПО, применённое в атаке на украинскую энергосистему в 2016 году и обновлённое до Industroyer2 в 2022 году; «говорит» на нативных протоколах энергосетей.
- ot-iot№ 762
Операционные технологии (OT)
Аппаратные и программные средства, которые контролируют физические процессы и инфраструктуру — заводы, электростанции и коммунальные сети.
- ot-iot№ 513
IEC 62443
Семейство стандартов IEC по кибербезопасности промышленных систем автоматизации и управления, охватывающее владельцев активов, интеграторов и поставщиков продуктов.