Triton, un malware diseñado para atacar industrias e infraestructuras críticas, ha causado el cierre de una planta
Unos piratas informáticos, probablemente a sueldo de un país, penetraron en el sistema de seguridad de una infraestructura crítica en un ataque perfectamente planificado que provocó el cierre de las instalaciones. Esta acción, llevada a cabo recientemente, tuvo lugar según el relato de Mandiant, compañía especializada en amenazas avanzadas de ciberseguridad perteneciente a la empresa de seguridad informática FireEye.
La investigación que han llevado a cabo ha revelado que los atacantes emplearon este sofisticado programa malicioso para tomar el control remoto de una estación de trabajo que ejecutaba Windows y funcionaba con un sistema de seguridad perteneciente a la compañía Schneider Electric S.E.
El malware, existente desde agosto de este año según Symantec, que también lo ha detectado y lo está investigando, se hacía pasar por una aplicación legítima. Una vez dentro, inyectaba código que modifica el comportamiento de los sistemas instrumentados de seguridad, conocidos por las siglas SIS, con "una lógica alternativa", para después reprogramar controladores que se utilizan para buscar posibles problemas de seguridad en la planta.
Lo que sucedió después de este incidente es que algunos de los controladores que se estaban manipulando entraron en un modo a prueba de fallos. Esto provocó que los procesos relacionados con ellos terminasen, se apagase el proceso industrial, iniciándose un cierre seguro, y la planta advirtiese el ataque. En otros casos, el ataque mediante Triton podría dar el control de las instalaciones a los hackers para que pudiesen provocar daños físicos. Ese es el objetivo de su diseño, según los investigadores.
Aunque desde FireEye no se ha querido identificar a la víctima del ataque, desde Symantec apuntan que, "según los informes, Triton ha sido utilizado contra al menos una organización en Oriente Medio".
FireEye no ha conectado esta actividad con ningún actor al que actualmente rastreemos; sin embargo, evaluamos con moderada confianza que el actor está patrocinado por un Estado-nación. La orientación de la infraestructura crítica, así como la persistencia del atacante, la falta de un objetivo monetario claro y los recursos técnicos necesarios para crear el marco de ataque sugieren un actor de un Estado-nación con recursos suficientes.
Estas sospechas son fundamentadas por la compañía de seguridad informática en base a que el atacante actuó contra sistemas instrumentados de seguridad, lo que sugeriría un interés en causar "un ataque de alto impacto con consecuencias físicas", algo que no es propio en el común de los hackers.
Teniendo en cuenta, además, que para diseñar el malware y planificar la acción se requiere acceso a hardware y software que no están ampliamente disponibles, que el protocolo de comunicación que utilizan no está documentado públicamente, "lo que sugiere que el adversario ha diseñado de forma independiente este protocolo", y que la selección de infraestructura crítica "es consistente con numerosas actividades de ataque y reconocimiento llevadas a cabo globalmente por rusos, iraníes, norcoreanos, estadounidenses e israelíes".
En el pasado, uno de los pocos malwares que hay con estas características, Stuxnet, tuvo como objetivo más probable las infraestructuras de alto valor de Irán según analistas y medio de comunicación.