TRITON / TRISIS
TRITON / TRISIS 是什么?
TRITON / TRISIS2017 年发现的恶意软件,针对沙特一座石化工厂的施耐德 Triconex 安全仪表系统,被归因于与俄罗斯有关联的攻击者。
TRITON (又称 TRISIS 或 HatMan) 是首个公开披露的、专门针对安全仪表系统 (SIS) 的恶意软件。2017 年它在沙特阿拉伯一座石化工厂的工程师工作站上被发现,通过施耐德专有的 TriStation 协议与 Triconex SIS 控制器通信。攻击者向 SIS 固件上传了自定义载荷 (inject.bin),试图重编程安全逻辑或迫使其进入不安全状态;逻辑不一致导致控制器故障停车,从而暴露了攻击行动。美国当局公开将 TRITON 归因于俄罗斯国家研究机构 TsNIIKhM。该事件促使行业严格执行 SIS 与 BPCS 的隔离,并部署面向 SIS 的入侵检测。
● 示例
- 01
通过 TriStation 协议向 Triconex MP3008 控制器上传恶意载荷。
- 02
重编程 SIS 逻辑,使本应触发停车的不安全工况不再生效。
● 常见问题
TRITON / TRISIS 是什么?
2017 年发现的恶意软件,针对沙特一座石化工厂的施耐德 Triconex 安全仪表系统,被归因于与俄罗斯有关联的攻击者。 它属于网络安全的 OT / ICS / 物联网 分类。
TRITON / TRISIS 是什么意思?
2017 年发现的恶意软件,针对沙特一座石化工厂的施耐德 Triconex 安全仪表系统,被归因于与俄罗斯有关联的攻击者。
TRITON / TRISIS 是如何工作的?
TRITON (又称 TRISIS 或 HatMan) 是首个公开披露的、专门针对安全仪表系统 (SIS) 的恶意软件。2017 年它在沙特阿拉伯一座石化工厂的工程师工作站上被发现,通过施耐德专有的 TriStation 协议与 Triconex SIS 控制器通信。攻击者向 SIS 固件上传了自定义载荷 (inject.bin),试图重编程安全逻辑或迫使其进入不安全状态;逻辑不一致导致控制器故障停车,从而暴露了攻击行动。美国当局公开将 TRITON 归因于俄罗斯国家研究机构 TsNIIKhM。该事件促使行业严格执行 SIS 与 BPCS 的隔离,并部署面向 SIS 的入侵检测。
如何防御 TRITON / TRISIS?
针对 TRITON / TRISIS 的防御通常结合技术控制与运营实践,详见上方完整定义。
TRITON / TRISIS 还有哪些其他名称?
常见的别称包括: TRITON, TRISIS, HatMan。
● 相关术语
- ot-iot№ 957
安全仪表系统 (SIS)
独立的控制系统,在被监测变量超出限值时使过程进入安全状态,以保护人员、环境与资产。
- ot-iot№ 529
工业控制系统 (ICS)
用于自动化和监控工业过程的系统统称,包括 SCADA、DCS、PLC、RTU 和安全控制器。
- ot-iot№ 1111
Stuxnet
2010 年披露的高复杂度蠕虫,通过重编程西门子 PLC 破坏伊朗铀浓缩离心机,普遍被归因于美国与以色列。
- ot-iot№ 530
Industroyer / CrashOverride
模块化的 ICS 恶意软件,用于 2016 年乌克兰电网攻击,并于 2022 年以 Industroyer2 升级出现,可直接使用电网原生协议跳闸变电站。
- ot-iot№ 762
运营技术 (OT)
用于监控和控制物理过程、设备和基础设施(如工厂、发电厂和公用事业)的硬件与软件。
- ot-iot№ 513
IEC 62443
面向工业自动化与控制系统网络安全的 IEC 标准族,覆盖资产所有者、系统集成商和产品供应商等角色。
● 参见
- № 328分布式控制系统 (DCS)