Menue

    • Gezielter Angriff auf Safety System – TRISIS/TRITON/Hatman Sofortmaßnahmen

    Home / Aktuelles / Gezielter Angriff auf Safety System – TRISIS/TRITON/Hatman Sofortmaßnahmen

    DRAGOS und FireEye berichteten am 14.12. über einen gezielten Angriff auf industrielle Sicherheitssteuerungen.

    Der Angriff, war gegen eine Kritische Infrastruktur im Mittleren Osten gerichtet und traf ein Triconex SIS (Safety Instrumented System) von Schneider Electric. Daher die Benennung „TRITON“ bzw. „TRISIS“.

    Im April 2018 ist der aktualisierte Malware-Analysebericht, MAR-17-352-01 HatMan – Safety System Targeted Malware (Update A) erschienen, ein Nachfolger des Originals vom 18. Dezember 2017.

    In dem Bericht werden die Fähigkeiten der HatMan-Malware und einige mögliche Abhilfemaßnahmen beschrieben. In der Medienberichterstattung wird diese Malware auch als TRITON und TRISIS bezeichnet.

    Das Dokument ist abrufbar unter https://ics-cert.us-cert.gov/sites/default/files/documents/MAR-17-352-01%20HatMan%20-%20Safety%20System%20Targeted%20Malware%20%28Update%20A%29_S508C.PDF.

    Welche Auswirkung hatte der Angriff?

    Kat. 1  nach NAMUR NA 163: Die Steuerung wurde in den Fail Safe Zustand gezwungen (Spurious Safe Trip).

    Vermutlich wurde eine Auswirkung nach Kat. 3 angestrebt, aber nicht erreicht.

    Wie war der Angriffsweg?

    Das Programm TRILOG.EXE, ein legitimer Bestandteil des Triconex Systems, wurde manipuliert. Der Zugang von TRILOG.EXE zum Controller wurde dazu mißbraucht Schadcode dort unterzubringen.

    Hat sich die Risikolage geändert?

    Zunächst ist keine virale Verbreitung zu erwarten. Der Schadcode ist jedoch öffentlich verfügbar.

    Was sind die empfohlenen Sofortmaßnahmen gegen TRISIS/TRITON?

    Herstellerempfehlung: Steuerungen des Typs Triconex per Schlüsselschalter aus dem „Program Mode“ in den „Run Mode“ nehmen.

    Unsere Empfehlung: Sicherheitshalber Engineering Stationen wirksam vom Netzwerk trennen. Permanente Verbindungen zum Controller, die nicht permanent genutzt werden müssen, trennen.

    Was sind die empfohlenen mittelfristige Maßnahmen zum Schutz von SIS?

    Maßnahmen nach NAMUR NA 163 Checkliste umsetzen.

    Welche Unterstüzung bekommen Sie von anapur?

    Informieren Sie sich über unseren Workshop „Security for Safety“.

    Informieren Sie sich über unseren Basis Automation Security Check.

    Ihr Ansprechpartner

    kruschitz

    Erwin Kruschitz

    +49 6233 880393-0
    Kontakt

    Was kann anapur für Sie tun?
    Links