Gaming Club
Regístrate
españaESPAÑAméxicoMÉXICOusaUSA
Betech
Ciencia y tecnología

CIBERTERRORISMO

Segunda vez que usan el malware Triton para hacer estallar una planta petroquímica

No es una película, sino la vida real: El malware Triton han sido empleado de nuevo en Arabia Saudí.

Segunda vez que usan el malware Triton para hacer estallar una planta petroquímica

El hacker abre su portátil, se conecta a un dispositivo remoto, activa un virus que ha introducido previamente en la infraestructura de red / sistema operativo. Y como resultado, toma el control de los sistemas de una planta petroquímica entera, manipula los niveles de seguridad y hace estallar todo el complejo… No, no es una set-piece de la próxima James Bond, Jason Bourne o Resident Evil. Esto es la realidad del mundo del espionaje y sabotaje actual. Y malwares como Triton son responsables de ello.

El malware Triton

Agosto 2017: Un virus malware de nuevo cuño llamado Triton entra en acción. Su código base ha sido diseñado para entrar dentro de las redes e infraestructuras de los objetivos y sabotear sus sistemas industriales de control. Por su naturaleza, Triton funciona muy bien en lugares como plantas energéticas y refinerías de petróleo, en las que es capaz de controlar las operaciones de estas instalaciones. Lo más ‘suave’ que Triton puede provocar es que la instalación frene o pare el ritmo de producción durante horas, días o semanas. Lo más grave es que, si juegas con los controles de seguridad, puedes provocar un Chernobyl 2.

Ese mes y de ese año, un grupo desconocido usó Triton para atacar y hacerse con una planta petroquímica situada en Arabia Saudí, en un ataque en principio destinado no a inutilizar la instalación, sino directamente a hacerla volar por los aires. La suerte fue que Triton tenía un bug en su código que impidió que el ciberataque terminase con éxito, aunque los hackers lograron introducirlo en la planta y lograr el acceso al sistema de seguridad crítica.

Ampliar

Triton ataca de nuevo

Abril 2019: Casi dos años después del fallido intento de usar Triton, los expertos en ciberseguridad de la firma FireEye han publicado un informe en el que señalan que el malware fue usado de nuevo para comprometer una segunda instalación -de la que no sabemos nada. De hecho ha sido la última de una serie de ataques con Triton que llevan produciéndose desde hace al menos dos años. Y es que el plan y la ejecución que describe FireEyes no pueden ser más profesional. Y también de película.

Al parecer, el grupo hacker introdujo a Triton en el sistema de su objetivo en 2018, y luego esperaron todo un año para reactivarlo y lanzar un ataque a un nivel de infraestructuras más profundo. Durante ese tiempo, el malware estuvo aprendiendo cómo funcionaba la red de su objetivo y cómo saltar de un punto a otro. El objetivo era obtener el acceso al remoto sistema de Seguridad crítica de la instalación, un monitor autónomo que se asegura que los sistemas físicos no operan fuera de su estado operativo usual. Y obtenerlo de manera silenciosa y sin dejar rastro, para que no pareciera sabotaje sino un fallo del sistema.

Este sistema de seguridad crítica, que opera al margen del resto de la Red, fue alcanzado en verdad por Triton. Pero al parecer, tampoco ha conseguido su objetivo. O si, lo cierto es que FireEye no dice (o no puede) qué tipo de instalación ha sido atacada, cuándo ni el resultado del ataque, aunque parece que al final Triton hizo daño de nuevo, un malware que ya en 2017 fue atribuido al gobierno ruso nada menos.