TRISIS, ook bekend als TRITON of HatMan, is een malwarevariant die zich richt op Schneider Electric Triconex Safety Instrumented System (SIS) controllers. Het valt niet uit te sluiten dat er meerdere groepen dezelfde tool delen en er 1 of meerdere groepen achter de recente aanvallen zitten. De laatste tijd is het gebruik van deze malwarevariant toegenomen.

TRISIS kan worden beschouwd als een Stage 2 ICS-aanvalscapaciteit (zie ICS killchain hieronder). Het doel van deze malware zijn specifieke ICS-systemen; het is duidelijk gericht op industriële netwerken en niet op traditionele IT-omgevingen.

Om een industrieel netwerk in gevaar te brengen, moet je eerst het omringende bedrijfs-IT-netwerk in gevaar brengen en een manier vinden om in de industriële omgeving te geraken. Als TRISIS wordt opgemerkt, betekent dit dat een hacker al succes heeft geboekt in het in gevaar brengen van het bedrijfsnetwerk.

De malware op zich bestaat uit een Pythonscript gecompileerd met py2exe, een publiek beschikbare compiler. Op die manier kan TRISIS in een omgeving worden uitgevoerd zonder dat de voorafgaande installatie van Python nodig is (wat in een industriële omgeving vaak geen zin heeft). Het doel van het script is de logica van een target-SIS te veranderen.

1. Infectie van het bedrijfsnetwerk (voltooiing van de klassieke Kill-chain).
2. Ontwikkelen – identificeren van het target SIS en vervolgens de vervangings-logic en loader ontwikkelen.
3. Test – Testen of de malware werkt zoals bedoeld, waarschijnlijk door hem te testen op vergelijkbare apparaten in vergelijkbare omstandigheden (niet op het doelnetwerk).
4. Aanleveren – TRISIS overbrengen naar het SIS, dat de 'loader'-module voor de nieuwe logic bevat en binaire bestanden ondersteunt die de nieuwe logic leveren.
5. Installatie – De malware vermomt zich in principe als Triconex-software voor het analyseren van SIS-logs. Vervolgens identificeert de malware de exacte geheugenlocatie om zijn eigen initialisatiecode te vervangen en te uploaden.
6. ICS-aanval uitvoeren – TRISIS controleert of de vorige stap geslaagd is. Als dit het geval is, wordt de nieuwe ladderlogic naar het SIS geüpload.

In het geval van TRISIS heeft Schneider Electric de volgende aanbevelingen gedaan voor Triconex Controllers:

• Veiligheidssystemen moeten altijd op geïsoleerde netwerken worden ontplooid.
• Fysieke controles moeten aanwezig zijn zodat onbevoegden geen toegang hebben tot de veiligheidscontrollers, de randapparatuur of het veiligheidsnetwerk.
• Alle controllers moeten zich in gesloten kasten bevinden en mogen nooit in de Program-modus blijven staan.
• Alle Tristation-terminals (Triconex-programmeersoftware) moeten in gesloten kasten worden bewaard en mogen nooit worden aangesloten op een ander netwerk dan het veiligheidsnetwerk.
• Alle methoden van mobiele-gegevensuitwisseling met het geïsoleerde veiligheidsnetwerk zoals cd's, usb-sticks etc. moeten worden gescand vóór gebruik in de Tristation-terminals of een ander op dit netwerk aangesloten knooppunt.
• Laptops die al op een ander netwerk dan het veiligheidsnetwerk werden aangesloten, mogen nooit zonder de juiste controle en beveiliging op het veiligheidsnetwerk worden aangesloten. Een goede sanering omvat het controleren op wijzigingen in het systeem en niet alleen het uitvoeren van antivirussoftware (in het geval van TRISIS heeft geen enkele grote antivirusverkoper deze malware gedetecteerd op het moment dat hij werd gebruikt).
• De operator stations moeten zo worden geconfigureerd dat een alarm wordt weergegeven wanneer de Tricon key switch zich in de Program modus bevindt.