Seguridad

El gobierno ruso, detrás del peligroso malware industrial Triton

El gobierno ruso, detrás del peligroso malware industrial Triton

Tras una compleja investigación, desde FireEye apuntan hacia el gobierno ruso por la autoría de Triton, un malware destinado a sistemas industriales que en 2017 se empleó para atacar una planta en Arabia Saudí.

El malware dirigido a plantas industriales copa cada vez más portadas y extrema los peligros contra grandes compañías de sectores como el petroquímico. El año pasado saltaba a la fama Triton, un software malicioso responsable de atacar una planta en Arabia Saudí y que también obedece a otros nombres como Trisis y Hatman. Ahora, una investigación de la firma FireEye pone a Rusia en el punto de mira, señalando al Gobierno como creador de este malware, uno de los más peligrosos de todos los tiempos y capaz de paralizar la producción industrial o hacer peligrar la seguridad de maquinaria controlada por SIS.

Tras el seguimiento han apodado al grupo que se ha estado sirviendo de Triton como TEMP.Veles, que casi logró hacer estallar una explosión en una planta petroquímica en Arabia Saudí. Según FireEye, se cree a todas luces que Triton proviene del Instituto Central de Investigación Científica de Química y Mecánica de Rusia (CNIIHM), una institución de investigación técnica con sede en Moscú, a quien la firma apunta por el desarrollo del malware.

Tras un inicio de año “somnoliento”, los ciberdelincuentes encaran estos meses en plena forma

Los investigadores de FireEye hallaron un entorno de prueba utilizado por TEMP.Veles que vinculaba al grupo con la intrusión. Al probar los componentes de malware a partir de 2014 para hacerlos más difíciles de detectar por los antivirus, los ciberatacantes cometieron errores de seguridad operacional y gracias a la evaluación del entorno de prueba, la investigación pudo rastrear el incidente, que revela que el grupo inició su actividad en el entorno de prueba en 2013, y personalizó durante años las herramientas de piratería de código abierto para poder hacerlas más discretas y adaptables a las configuraciones de control industrial. 

Analizando los diversos archivos de malware TEMP.Veles, la firma halló uno que obedecía a un nombre de usuario conectado a un investigador de seguridad de la información con sede en Rusia. El apodo podría apuntar hacia un profesor en CNIIHM, la institución conectada al malware. Además, se halló que dirección IP asociada con la actividad, el monitoreo y el reconocimiento maliciosos de TEMP.Veles Triton están registrados en el mentado Instituto Central de Investigación Científica de Química y Mecánica de Rusia (CNIIHM). El material incluye nombres y notas cirílicas, y el horario corresponde a la zona horaria de Moscú.

“Cuando observamos el incidente de Triton por primera vez, no teníamos idea de quién era el responsable y eso es bastante raro, por lo general hay una pista clara”, apuntó John Hultquist, director de investigación de FireEye. “Ahora que hemos asociado esta capacidad con Rusia, podemos empezar a pensar en ello en el contexto de los intereses de Rusia”, declaraba.

Fuente | Wired

Sobre el autor de este artículo

Andrea Núñez-Torrón Stock

Licenciada en Periodismo y creadora de la revista Literaturbia. Entusiasta del cine, la tecnología, el arte y la literatura.