c0032 - RunkIntel

# C0032 - TEMP.Veles Foothold IT pre-TRITON > [!danger] C0032 - Pre-TRITON: TEMP.Veles Preparando Ataque a Sistema de Segurança Industrial > **Período:** 2014-2017 | **Ator:** [[g0088-tempveles|TEMP.Veles]] (XENOTIME, nexo Russia/CNIIHM) > **Contexto:** Fase de reconhecimento e acesso IT que precedeu o ataque TRITON ao SIS Triconex > **Impacto potencial:** Desabilitar sistemas de segurança de planta petroquimica no Oriente Medio ## Visão Geral C0032 foi uma campanha prolongada conduzida pelo [[g0088-tempveles|TEMP.Veles]] (também rastreado como XENOTIME pela Dragos) - grupo atribuido ao Instituto Cientifico de Pesquisa Central de Quimica e Mecanica (CNIIHM) russo - com o objetivo de estabelecer acesso persistente e progressivo nas redes de TI de uma planta petroquimica no Oriente Medio antes do ataque TRITON/TRISIS de 2017. Esta campanha e **distinta** do ataque ao Sistema Instrumentado de Segurança (SIS) TRITON - representa a **fase de preparação** que durou pelo menos 3 anos. Durante a C0032, o [[g0088-tempveles|TEMP.Veles]] comprometeu sistematicamente a rede de TI corporativa da planta, realizando movimento lateral progressivo em direcao a rede OT (Operational Technology), com o objetivo final de alcance fisico aos controladores Triconex que gerenciam a segurança do processo. O ataque TRITON de 2017 - que o C0032 preparou - e historicamente significativo: foi o **primeiro malware públicamente documentado a visar Sistemas Instrumentados de Segurança (SIS)** industriais, específicamente os controladores Triconex da Schneider Electric. O objetivo era reprogramar o firmware dos controladores SIS para permitir condicionamentos inseguros - potencialmente causando explosoes, vazamentos de gases toxicos ou morte de trabalhadores. O [[g0088-tempveles|TEMP.Veles]] demonstrou excepcional operacional security durante a C0032: apagamento rotineiro de ferramentas e logs, timestomping, mascaramento de arquivos como updates legitimos do Windows ou aplicações Schneider Electric, e uso de VPS para distanciamento de atribuicao. ## Attack Flow ```mermaid graph TB A["🌐 2014 - Acesso Inicial Comprometimento de rede IT da planta petroquimica"] --> B["🔑 Credenciais VPN comprometida + Valid Accounts Mimikatz para LSASS + SecHack"] B --> C["🚇 Persistência Furtiva Web shells em Exchange Server Tunnels SSH-PLINK criptografados"] C --> D["🔄 Lateral Movement IT RDP + SSH via portas nao-padrao 443, 4444, 8531, 50501"] D --> E["🧹 Anti-Forense Apagamento de logs e ferramentas Timestomping com PowerShell"] E --> F["🏭 2016-2017 Pivot para rede OT Acesso a workstation de engenharia SIS"] F --> G["⚠️ Ago 2017 - TRITON Implantação de malware TRITON nos controladores Triconex"] ``` ## Timeline da Campanha ```mermaid timeline title C0032 - Preparação para o Ataque TRITON 2014 : TEMP.Veles inicia comprometimento da rede IT : Acesso inicial e estabelecimento de persistência 2015 : Movimento lateral progressivo : VPN comprometida como canal de acesso remoto 2016 : Comprometimento aprofundado da rede IT : Inicio de pivot para rede OT/ICS Ján-Jul 2017 : Acesso a workstation de engenharia SIS : Reconhecimento dos controladores Triconex Ago 2017 : Implantação do malware TRITON no SIS : Controladores entram em modo de falha segura : Descoberta pela empresa após investigação interna 2018 : Mandiant e Dragos publicam atribuicao ao TEMP.Veles/XENOTIME 2019 : DOJ/OFAC identificam CNIIHM (instituto russo) como responsavel ``` ## Técnicas Utilizadas | Técnica | ID | Uso na Campanha | |---------|-----|-----------------| | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de contas VPN comprometidas para acesso persistente | | External Remote Services | [[t1133-external-remote-services\|T1133]] | VPN como canal de persistência na rede da planta | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | Web shells plantados em servidores Outlook Exchange | | Protocol Tunneling | [[t1572-protocol-tunneling\|T1572]] | Tunnels SSH-PLINK criptografados para transferencia de ferramentas e RDP | | SSH | [[t1021-004-ssh\|T1021.004]] | SSH como mecanismo de movimento lateral | | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP para acesso interativo a sistemas comprometidos | | Non-Standard Port | [[t1571-non-standard-port\|T1571]] | C2 em portas 443, 4444, 8531, 50501 para mascaramento | | Match Legitimaté Name | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Arquivos renomeados para imitar updates Windows e apps Schneider Electric | | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Tarefas agendadas com triggers XML para persistência | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Apagamento rotineiro de ferramentas, logs e arquivos após uso | | Timestomp | [[t1070-006-timestomp\|T1070.006]] | PowerShell para modificar timestamps e dificultar forense | | Local Data Staging | [[t1074-001-local-data-staging\|T1074.001]] | Pastas de staging pouco usadas para staging de dados e ferramentas | | Virtual Private Server | [[t1583-003-virtual-private-server\|T1583.003]] | VPS para infraestrutura de C2 distante de atribuicao | | Obtain Tool | [[t1588-002-tool\|T1588.002]] | Mimikatz, PsExec e SecHack (ferramenta customizada) para credenciais | | PowerShell | [[t1059-001-powershell\|T1059.001]] | PowerShell para timestomping e execução de comandos | ## Software Utilizado - [[mimikatz|Mimikatz]] - Dump de credenciais LSASS para movimento lateral - SecHack - Ferramenta customizada do TEMP.Veles para coleta de credenciais - PsExec - Ferramenta Sysinternals para execução remota de comandos - PLINK (PuTTY) - Criação de tunnels SSH criptografados para RDP ## O Contexto TRITON O ataque final TRITON (agosto 2017) tentou reprogramar controladores Triconex via protocolo TriStation para: - Desabilitar o mecanismo de failsafe do SIS - Permitir que condicoes inseguras persistissem no processo petroquimico - Potencialmente causar explosao ou desastre ambiental catastrofico **A campanha C0032 foi a fase Stage 1** (preparação de TI) que possibilitou o Stage 2 (ataque ao SIS). O ataque final falhou pois um bug no código do TRITON causou falha de válidação que acionou shutdown automatico - revelando o malware inadvertidamente. ## Relevância LATAM/Brasil - Plantas petroquimicas e refinarias brasileiras ([[petrobras|Petrobras]], BRASKEM, fertilizantes) utilizam Sistemas Instrumentados de Segurança similares (controladores Triconex Schneider Electric e Yokogawa) aos que foram alvo do TRITON - O padrao de acesso prolongado em TI (2-3 anos) antes do ataque OT e uma ameaça sistemica para a industria de processo (oil & gas, quimica, fertilizantes) no Brasil - A ANP e o IBAMA devem considerar este caso como referência para requisitos de segurança de SIS em instalacoes industriais brasileiras de alto risco - O setor de oil & gas brasileiro - com investimentos crescentes no pre-sal - e alvo de interesse estratégico para múltiplos estados-nacao - Qualquer intrusão em rede de TI de planta industrial brasileira deve ser investigada com urgencia maxima - pode ser preparação para ataque OT ## Mitigacoes Recomendadas - Implementar segmentacao estrita IT/OT com air-gap ou firewall unidirecional - Colocar controladores SIS em modo fisica de "chave em Run" (nao Program) quando nao em manutenção - Monitorar accesso a workstations de engenharia SIS via SIEM com alertas imediatos - Auditar logs de VPN e acesso remoto regularmente em ambientes industriais - Aplicar patches de firmware Triconex e outros SIS conforme recomendações do fabricante ## Referências - [MITRE ATT&CK - C0032](https://attack.mitre.org/campaigns/C0032) - [Dragos - TRISIS/TRITON Malware Analysis](https://www.dragos.com/) - [Mandiant - TEMP.Veles: New Activity](https://www.mandiant.com/) - [CISA - ICS Advisory: TRITON/TRISIS/HatMan](https://www.cisa.gov/ics-advisories)