TRITON / TRISIS
Что такое TRITON / TRISIS?
TRITON / TRISISОбнаруженное в 2017 году ВПО, атаковавшее системы противоаварийной защиты Triconex производства Schneider на нефтехимическом заводе в Саудовской Аравии; связывается с группой, имеющей российские корни.
TRITON (также TRISIS или HatMan) — первое публично раскрытое ВПО, целенаправленно атакующее системы противоаварийной защиты (SIS). В 2017 году его обнаружили на инженерных станциях нефтехимического завода в Саудовской Аравии: оно взаимодействовало с контроллерами Schneider Electric Triconex по проприетарному протоколу TriStation. Атакующие загрузили в прошивку SIS специальный пейлоад («inject.bin»), стремясь либо переписать логику безопасности, либо вызвать опасное состояние; рассогласование логики привело к аварийному останову завода, что и обнаружило кампанию. Власти США публично связали TRITON с российским государственным исследовательским институтом ЦНИИХМ. После инцидента отрасль усилила разделение SIS и BPCS и начала внедрять SIS-ориентированные системы обнаружения вторжений.
● Примеры
- 01
Загрузка вредоносного пейлоада в контроллеры Triconex MP3008 по протоколу TriStation.
- 02
Попытка переписать логику SIS, чтобы опасное состояние больше не приводило к аварийному останову.
● Частые вопросы
Что такое TRITON / TRISIS?
Обнаруженное в 2017 году ВПО, атаковавшее системы противоаварийной защиты Triconex производства Schneider на нефтехимическом заводе в Саудовской Аравии; связывается с группой, имеющей российские корни. Относится к категории OT / ICS / IoT в кибербезопасности.
Что означает TRITON / TRISIS?
Обнаруженное в 2017 году ВПО, атаковавшее системы противоаварийной защиты Triconex производства Schneider на нефтехимическом заводе в Саудовской Аравии; связывается с группой, имеющей российские корни.
Как защититься от TRITON / TRISIS?
Защита от TRITON / TRISIS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия TRITON / TRISIS?
Распространённые альтернативные названия: TRITON, TRISIS, HatMan.