xenotime - RunkIntel

# XENOTIME (TEMP.Veles) > [!danger] Russia TsNIIKhM - Malware Mais Perigoso da Historia ICS > XENOTIME e o grupo responsavel pelo TRITON - o único malware projetado para desabilitar sistemas de segurança industrial (Safety Instrumented Systems), abrindo caminho para catastrofes fisicas e mortes em instalacoes petroquimicas. O ataque de 2017 contra a instalacao Petro Rabigh na Arabia Saudita foi descoberto por acidente quando o malware causou um shutdown nao intencional - potencialmente evitando uma explosao catastrofica. ## Visão Geral XENOTIME e o nome da Dragos para o grupo que a FireEye/Mandiant rastreia como TEMP.Veles e que o governo americano atribuiu ao **Instituto Central Cientifico de Pesquisa de Quimica e Mecanica da Russia (TsNIIKhM)**, uma instituicao de pesquisa controlada pelo governo russo que apoia as forcas armadas russas com pesquisa avancada, armas e capacidades ciberneticas. O grupo e considerado por especialistas como o **mais perigoso do mundo em termos de ICS**, nao pela frequência de ataques mas pela natureza do alvo: sistemas de segurança que existem específicamente para evitar explosoes, incendios e mortes em instalacoes industriais. TRITON foi o primeiro malware documentado projetado com o objetivo explicito de causar danos fisicos e vitimas humanas. **Atribuicao:** FBI e DOJ acusaram formalmente um cidadao russo e funcionario do TsNIIKhM em marco de 2022. A instituicao e descrita como entidade subordinada ao Ministerio de Defesa russo. **Também conhecido como:** TEMP.Veles (FireEye/Mandiant), TsNIIKhM (atribuicao governamental) ## O Ataque Triton - Petro Rabigh 2017 Em junho e agosto de 2017, XENOTIME implantou o malware TRITON (também chamado de TRISIS e HatMan) nos sistemas de controle de segurança da instalacao petroquimica Petro Rabigh na Arabia Saudita. O ataque: 1. **Ganhou acesso a rede IT** através de técnicas convencionais de espionagem 2. **Pivotou para a rede OT** via um historian de dados dual-homed 3. **Acessou a workstation de engenharia** conectada a rede de segurança da planta 4. **Implantou TRITON** nos controladores Triconex Tricon (Schneider Electric) 5. **Tentou modificar a lógica dos controladores** para desabilitar as funções de segurança O ataque foi descoberto **por acidente**: na segunda tentativa de implantação (4 de agosto de 2017), o malware causou uma falha nos controladores SIS que triggou um shutdown de emergência da planta - mecanismo de failsafe que a propria modificacao deveria ter desativado. Engenheiros investigando o shutdown encontraram o malware. Sem o shutdown acidental, a planta teria continuado operando com os sistemas de segurança comprometidos - qualquer incidente subsequente poderia ter resultado em catastrofe sem acionar as protecoes de emergência. ## Arsenal Tecnico - TRITON ```mermaid graph TB A["Acesso IT Ferramentas convencionais Mimikatz, CryptCat custom"] --> B["Pivot OT Historian dual-homed Credenciais capturadas"] B --> C["Engineering Workstation Acesso via credenciais válidas RDP / VPN"] C --> D["Rede de Segurança Safety System Network Fisicamente isolada do IT"] D --> E["TRITON Dropper trilog.exe via Python Protocolo TriStation proprietario"] E --> F["Controladores Triconex Modificacao de firmware em memoria Zero-day no Tricon MP3008"] F --> G["SIS Desativados Planta operando sem failsafe Proximo incidente = catastrofe"] style A fill:#2471a3,color:#fff style B fill:#e67e22,color:#fff style C fill:#1a3a5c,color:#fff style D fill:#8e44ad,color:#fff style E fill:#c0392b,color:#fff style F fill:#922b21,color:#fff style G fill:#7d6608,color:#fff ``` ## TRITON - Análise Técnica **TRITON** e um framework malicioso que interage com controladores Triconex SIS da Schneider Electric: - **Protocolo proprietario:** o grupo fez engenharia reversa do protocolo TriStation (nao documentado públicamente) para comúnicar com os dispositivos - **Zero-day no Tricon MP3008:** explorava vulnerabilidade nos controladores versoes 10.0-10.4 do firmware (corrigida na versao 11.3) - **Modificacao de firmware em memoria:** nao escreve em disco - invisivel a análise forense convencional - **Execução dupla:** dropper `trilog.exe` (Python compilado com Py2Exe) + dois arquivos de backdoor para os PLCs - **Failsafe acidental:** a propria modificacao causou erros que trigaram o shutdown de emergência que deveria ter desativado **Ferramentas de suporte customizadas:** - Versao customizada do Mimikatz testada em ambiente de malware-testing (ligada ao TsNIIKhM via PDB path) - Versao customizada do CryptCat para C2 criptografado - Versoes customizadas de Cobalt Strike, PowerSploit e WMImplant ## Timeline ```mermaid timeline title XENOTIME - Cronologia 2014 : Inicio estimado das operacoes (Dragos) Junho 2017 : Primeiro shutdown da Petro Rabigh - mal explicado como mecanico Agosto 2017 : Segundo shutdown - TRITON descoberto durante investigação Dezembro 2017 : Symantec e FireEye divulgam o malware ao publico Outubro 2018 : FireEye atribui TRITON ao TsNIIKhM russo com alta confianca 2018-2019 : Expansao de targeting para utilities eletricos nos EUA e APAC Marco 2022 : FBI emite alerta que TsNIIKhM continua ativo - indiciamento de cidadao russo 2022 : Atividade continuada contra setor de energia global ``` ## Expansao de Targeting 2018-2019 Após a exposicao do ataque de 2017, XENOTIME **nao se recolheu** - ao contrario, expandiu o escopo: - **2018:** Dragos e FireEye identificam XENOTIME realizando reconhecimento contra **utilities eletricos nos EUA e na Asia-Pacifico** - Comportamento de scanning ativo de redes OT/ICS em novas regioes - Indica preparação para futuros ataques - "satisfazendo pre-requisitos para intrusão ICS futura" (Dragos, 2019) - O FBI confirmou em 2022 que o grupo **permanece ativo** e continua a ameaçar o setor energetico global ## TTPs Detalhadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - acesso inicial via aplicações internet-facing na rede IT - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais comprometidas para movimentação lateral - [[t1021-001-remote-desktop-protocol|T1021.001 - RDP]] - acesso remoto via credenciais capturadas - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - Mimikatz customizado para coleta de credenciais - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - transferencia de ferramentas TRITON via rede comprometida - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - ferramentas customizadas para evadir detecção de AV - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de scripts pos-comprometimento - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - mapeamento de arquivos e configuracoes de sistemas ICS ## Software Utilizado - [[triton|TRITON]] - framework ICS para comprometimento de Safety Instrumented Systems Triconex - [[mimikatz|Mimikatz]] - versao customizada para coleta de credenciais (vinculada ao TsNIIKhM) - [[s0154-cobalt-strike|Cobalt Strike]] - versao customizada para C2 persistente - [[cryptcat|CryptCat]] - versao customizada para comúnicacoes C2 criptografadas ## Relevância para o Brasil e LATAM O Brasil tem uma das maiores industrias petroquimicas do mundo (Petrobras, Braskem, Oxiteno) com instalacoes que operam sistemas de segurança instrumentados - exatamente o tipo de alvo que XENOTIME demonstrou capacidade de comprometer. A Petrobras opera instalacoes offshore com controladores Triconex semelhantes aos atacados em 2017. O alerta do FBI de 2022 e explicito: TsNIIKhM **continua ativo** e o TRITON representa risco continuado para **qualquer instalacao de energia ou petroquimica** com controladores SIS Triconex em versoes vulneraveis (Tricon model 3008 anterior a versao 11.3). Adicionalmente, utilities eletricos brasileiros com infraestrutura SCADA exposta a internet ou com segmentacao IT/OT inadequada entram no perfil de reconhecimento identificado pela Dragos para 2018-2019. > [!warning] Acao Imediata - Controladores Triconex > Auditar TODOS os controladores Triconex Tricon em plataformas de energia e petroquimica. Verificar versao de firmware - versoes anteriores a 11.3 sao vulneraveis. Implementar monitoramento de accounting logs em sistemas de engenharia. Revisar postura de chaves fisicas nos controladores SIS (chave em modo programavel permitiu o ataque de 2017). ## Detecção e Hunting - Auditar accounting logs de estacoes de engenharia para acesso nao autorizado a controladores SIS - Monitorar conexoes de historicos de dados (historians) para redes OT - caminho usado em 2017 - Detectar `trilog.exe` e qualquer executavel Python anormal em workstations de engenharia - Implementar monitoramento de protocolo TriStation em trafego de rede - Verificar chaves fisicas de controladores Triconex - garantir modo de operação nao programavel - Hunting por CryptCat e ferramentas customizadas de C2 em redes industriais ## Referências - [1](https://www.ic3.gov/CSA/2022/220325.pdf) FBI - TRITON Malware Remains Threat to Global Critical Infrastructure (2022) - [2](https://securityaffairs.com/77345/malware/triton-cniihm-institute.html) Security Affairs - Russian Government Research Institute Linked to Triton Attacks (2019) - [3](https://www.securityweek.com/triton-malware-linked-russian-government-research-institute/) SecurityWeek - Triton Malware Linked to Russian Government Research Institute (2018) - [4](https://securityaffairs.com/87125/breaking-news/xenotime-targets-us-apac.html) Security Affairs - XENOTIME Targeting Electric Utilities in US and APAC (2019) - [5](https://www.virusbulletin.com/uploads/pdf/conference/vb2022/papers/VB2022-Zeroing-in-on-XENOTIME-analysis-of-the-entities-responsible-for-the-Triton-event.pdf) Virus Bulletin - Zeroing in on XENOTIME (2022) - [6](https://blogs.cisco.com/security/how-does-triton-attack-triconex-industrial-safety-systems) Cisco Blog - How Does Triton Attack Triconex Industrial Safety Systems (2024)