# TEMP.Veles ## Visão Geral **TEMP.Veles** (também rastreado como **XENOTIME**) é um grupo de ameaça persistente avançada (APT) atribuído ao Estado russo, mais específicamente ao **CNIIHM** (Central Scientific Research Institute of Chemistry and Mechanics - Instituto Central de Pesquisa Científica de Química e Mecânica), laboratório de pesquisa estatal localizado em Moscou. O grupo ficou mundialmente conhecido por ser o **único ator de ameaça documentado a atacar Safety Instrumented Systems (SIS)** - os sistemas de segurança industrial que evitam acidentes catastróficos em instalações de petróleo, gás e energia. O malware desenvolvido pelo grupo, conhecido como **TRITON** (ou TRISIS/HATMAN), é capaz de reprogramar controladores Triconex da Schneider Electric, potencialmente causando explosões, incêndios ou acidentes industriais de grande escala. > [!danger] TRITON - A Primeira Arma Capaz de Matar > TRITON é o único malware documentado públicamente projetado para **comprometer sistemas de segurança** que protegem vidas humanas em instalações industriais. Um ataque bem-sucedido contra uma refinaria de petróleo ou usina química poderia causar mortes massivas e danos ambientais irreversíveis. > [!info] Atribuição: CNIIHM, Moscou > A atribuição ao CNIIHM foi feita pela FireEye/Mandiant (2019) com base em: (1) código-fonte TRITON com comentários em russo; (2) endereços IP de infraestrutura C2 associados à rede do CNIIHM; (3) metadados de desenvolvimento de software apontando para funcionários do instituto. ## Attack Flow - Ataque a Sistemas de Segurança Industrial ```mermaid graph TB A["🔍 Reconhecimento<br/>Mapeamento de rede ICS<br/>Identificação de SIS Triconex"] --> B["🎯 Acesso Inicial<br/>Spear-phishing ou<br/>credenciais VPN comprometidas"] B --> C["🏗️ Movimento Lateral<br/>PsExec + Mimikatz<br/>Escalada de privilégio"] C --> D["🕵️ Reconhecimento OT<br/>Mapeamento de topologia ICS<br/>Identificação de RTUs e SIS"] D --> E["⚠️ Deploy TRITON<br/>Framework injetado<br/>nos controladores Triconex"] E --> F["💥 Manipulação SIS<br/>Reprogramação da lógica<br/>de segurança industrial"] F --> G["🔥 Impacto Potencial<br/>Explosão / incêndio<br/>Acidente industrial em massa"] classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef lateral fill:#e67e22,color:#fff,stroke:#d35400 classDef ot fill:#7f8c8d,color:#fff,stroke:#626567 classDef deploy fill:#8e44ad,color:#fff,stroke:#6c3483 classDef manip fill:#943126,color:#fff,stroke:#78281f classDef impact fill:#2c3e50,color:#fff,stroke:#1a252f class A recon class B access class C lateral class D ot class E deploy class F manip class G impact ``` ## Histórico de Ataques ### Ataque 1 - Petroquímica Saudita (2016–2017) O TEMP.Veles comprometeu uma refinaria petroquímica no **Oriente Médio** (amplamente especulada como Petro Rabigh, afiliada da Saudi Aramco) a partir de 2016. Em **agosto de 2017**, o malware TRITON foi implantado nos controladores Triconex da Schneider Electric, causando **shutdown automático de emergência** da planta - não por intenção, mas porque a lógica de manipulação do SIS acionou o próprio sistema de segurança que tentava comprometer. O incidente foi investigado pela Mandiant/FireEye, que públicou descoberta em dezembro de 2017. O nome TRITON vem dos controladores Triconex; variantes incluem TRISIS (Dragos) e HATMAN (ICS-CERT). ### Ataque 2 - Segunda Vítima (2018–2019) O Dragos públicou em 2018 que o grupo havia expandido reconhecimento para **utilities de energia elétrica e petróleo nos EUA e Ásia-Pacífico**. Uma segunda vítima não identificada foi comprometida entre 2018 e 2019, com o XENOTIME realizando reconhecimento extensivo de redes ICS mas sem implantar TRITON na segunda instância. ## Perfil Técnico | Campo | Detalhe | |-------|---------| | Atribuição | CNIIHM, Moscou (FireEye 2019) | | Malware principal | TRITON / TRISIS / HATMAN | | SIS alvo | Schneider Electric Triconex Safety PLC | | Ferramentas complementares | [[mimikatz\|Mimikatz]], [[psexec\|PsExec]], CrackMapExec | | Período documentado | 2014–2019 | | Abordagem | Long dwell time - meses de reconhecimento antes do payload | ## Técnicas MITRE ATT&CK | Técnica | Descrição | |---------|-----------| | [[t1059-001-powershell\|T1059.001]] | PowerShell para movimentação lateral e staging | | [[t1078-valid-accounts\|T1078]] | Uso de credenciais legítimas comprometidas | | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Acesso remoto via SSH a sistemas OT | | [[t1083-file-and-directory-discovery\|T1083]] | Descoberta de arquivos de configuração ICS | | [[t1105-ingress-tool-transfer\|T1105]] | Transferência de ferramentas para redes air-gapped | | [[t1071-application-layer-protocol\|T1071]] | C2 via protocolos de camada de aplicação | ## Software Utilizado - **TRITON** (não documentado como nota separada) - framework de ataque a SIS Triconex - [[mimikatz|Mimikatz]] - extração de credenciais Windows - [[psexec|PsExec]] - execução remota de processos para movimento lateral - CrackMapExec - enumeração e exploração de redes Windows ## Campanhas Documentadas - [[triton-safety-instrumented-system-attack|Triton Safety Instrumented System Attack]] - ataque à refinaria saudita 2016–2017 - [[c0032|C0032]] - campanha documentada no MITRE ATT&CK ## Relevância para o Brasil e LATAM > [!warning] Petrobras, Refinarias e Usinas em Risco > O TEMP.Veles representa ameaça **crítica e específica** à infraestrutura industrial brasileira. A **Petrobras** opera refinarias com sistemas Triconex (REDUC, REPLAN, REVAP). Usinas hidrelétricas (Itaipu, Tucuruí, Belo Monte) e termelétricas também usam sistemas SIS de fabricantes vulneráveis ao TRITON. Em cenário de escalada geopolítica envolvendo o Brasil, um ator com a capacidade do TEMP.Veles poderia causar acidentes industriais de grande escala com vítimas humanas. Recomendações críticas para operadores industriais brasileiros: 1. **Auditoria imediata** de todos os controladores Triconex (Schneider Electric) em operação 2. **Isolamento físico (air-gap)** de redes SIS - sem conectividade com redes corporativas ou internet 3. **Monitoramento de anomalias** em tráfego para controladores de segurança 4. **Inventário de workstations de engenharia** com acesso a redes OT - vetor primário de infecção 5. Colaboração com CISA/ICS-CERT para análise de IoCs do TRITON ## Referências - [MITRE ATT&CK - G0088 TEMP.Veles](https://attack.mitre.org/groups/G0088/) - [Mandiant - TRITON Attribution to Russia](https://cloud.google.com/blog/topics/threat-intelligence/triton-actor-ttp-profile-custom-attack-tools-detections-y-2019-update) - [Dragos - XENOTIME: Targeting Electric Utilities](https://www.dragos.com/threat/xenotime/) - [Dark Reading - Triton/Trisis Attacks Another Victim](https://www.darkreading.com/vulnerabilities-threats/triton-trisis-attacks-another-victim) - [SecurityWeek - Hackers Behind Triton Target Electric Utilities in US, APAC](https://www.securityweek.com/hackers-behind-triton-malware-target-electric-utilities-us-apac/)