Segunda vez que usan el malware Triton para hacer estallar una planta petroqu¨ªmica

El hacker abre su port¨¢til, se conecta a un dispositivo remoto, activa un virus que ha introducido previamente en la infraestructura de red / sistema operativo. Y como resultado, toma el control de los sistemas de una planta petroqu¨ªmica entera, manipula los niveles de seguridad y hace estallar todo el complejo¡­ No, no es una set-piece de la pr¨®xima James Bond, Jason Bourne o Resident Evil. Esto es la realidad del mundo del espionaje y sabotaje actual. Y malwares como Triton son responsables de ello.

El malware Triton

Agosto 2017: Un virus malware de nuevo cu?o llamado Triton entra en acci¨®n. Su c¨®digo base ha sido dise?ado para entrar dentro de las redes e infraestructuras de los objetivos y sabotear sus sistemas industriales de control. Por su naturaleza, Triton funciona muy bien en lugares como plantas energ¨¦ticas y refiner¨ªas de petr¨®leo, en las que es capaz de controlar las operaciones de estas instalaciones. Lo m¨¢s ¡®suave¡¯ que Triton puede provocar es que la instalaci¨®n frene o pare el ritmo de producci¨®n durante horas, d¨ªas o semanas. Lo m¨¢s grave es que, si juegas con los controles de seguridad, puedes provocar un Chernobyl 2.

Ese mes y de ese a?o, un grupo desconocido us¨® Triton para atacar y hacerse con una planta petroqu¨ªmica situada en Arabia Saud¨ª, en un ataque en principio destinado no a inutilizar la instalaci¨®n, sino directamente a hacerla volar por los aires. La suerte fue que Triton ten¨ªa un bug en su c¨®digo que impidi¨® que el ciberataque terminase con ¨¦xito, aunque los hackers lograron introducirlo en la planta y lograr el acceso al sistema de seguridad cr¨ªtica.

Ampliar

Triton ataca de nuevo

Abril 2019: Casi dos a?os despu¨¦s del fallido intento de usar Triton, los expertos en ciberseguridad de la firma FireEye han publicado un informe en el que se?alan que el malware fue usado de nuevo para comprometer una segunda instalaci¨®n -de la que no sabemos nada. De hecho ha sido la ¨²ltima de una serie de ataques con Triton que llevan produci¨¦ndose desde hace al menos dos a?os. Y es que el plan y la ejecuci¨®n que describe FireEyes no pueden ser m¨¢s profesional. Y tambi¨¦n de pel¨ªcula.

Al parecer, el grupo hacker introdujo a Triton en el sistema de su objetivo en 2018, y luego esperaron todo un a?o para reactivarlo y lanzar un ataque a un nivel de infraestructuras m¨¢s profundo. Durante ese tiempo, el malware estuvo aprendiendo c¨®mo funcionaba la red de su objetivo y c¨®mo saltar de un punto a otro. El objetivo era obtener el acceso al remoto sistema de Seguridad cr¨ªtica de la instalaci¨®n, un monitor aut¨®nomo que se asegura que los sistemas f¨ªsicos no operan fuera de su estado operativo usual. Y obtenerlo de manera silenciosa y sin dejar rastro, para que no pareciera sabotaje sino un fallo del sistema.

Este sistema de seguridad cr¨ªtica, que opera al margen del resto de la Red, fue alcanzado en verdad por Triton. Pero al parecer, tampoco ha conseguido su objetivo. O si, lo cierto es que FireEye no dice (o no puede) qu¨¦ tipo de instalaci¨®n ha sido atacada, cu¨¢ndo ni el resultado del ataque, aunque parece que al final Triton hizo da?o de nuevo, un malware que ya en 2017 fue atribuido al gobierno ruso nada menos.