TRITON una amenaza a las infraestructuras críticas

 

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Investigadores Internacionales afirman haber descubierto pruebas que demuestran la participación de un instituto de investigación ruso en el desarrollo del malware TRITON que provocó la caída inesperada de algunos sistemas industriales el año pasado, incluida una planta petroquímica en Arabia Saudita.

TRITON, también conocido como Trisis, es una pieza de software malicioso ICS diseñado para atacar los controladores del Sistema de Instrumentación de Seguridad (SIS) de Triconex fabricados por Schneider Electric, que a menudo se usan en instalaciones de petróleo y gas.

El Sistema de seguridad instrumentado de Triconex es un sistema de control autónomo que monitorea de forma independiente el rendimiento de los sistemas críticos y realiza acciones inmediatas automáticamente si se detecta un estado peligroso.

Dado que un cibercriminal no puede crear un malware de tales capacidades sin poseer los conocimientos necesarios de Sistemas de Control Industrial (ICS), los investigadores creen con “alta confianza” que el laboratorio central de Investigación Científica de Química y Mecánica con sede en Moscú (CNIIHM) ЦНИИХМ) ayudó a los atacantes, llamados “TEMP.Veles”, con conocimiento institucional a desarrollar el marco TRITON y probar sus componentes en un entorno específico.

Central-Research-Institute of Chemistry-Mechanics-CNIIHM

Los investigadores descubrieron varias pistas de atribución que conectan las actividades de desarrollo y prueba del malware Triton con el gobierno ruso, CNIIHM y un ex profesor en CNIIHM.

“TEMP.Veles ha empleado una dirección IP [87.245.143.140] registrada para CNIIHM para múltiples propósitos, incluida la supervisión de la cobertura de código abierto de TRITON, el reconocimiento de la red y la actividad maliciosa en apoyo de la intrusión de TRITON.

Además, los patrones de comportamiento observados en la actividad del grupo TEMP.Veles también son consistentes con la zona horaria de Moscú, donde se encuentra el instituto CNIIHM.

Aunque los investigadores de CNIIHM poseen experiencia en infraestructura crítica y en el desarrollo de armas y equipo militar, los investigadores afirmaron que ni tiene ninguna evidencia de que el instituto también estuviera involucrado en el despliegue del malware Triton en el ecosistema.

Lo que es preocupante es que los hackers detrás de Triton continuaron siendo una amenaza activa para la infraestructura crítica en todo el mundo, ya que el malware tiene la capacidad de causar daños severos y potencialmente mortales a una organización o de cerrar sus operaciones.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris