Los investigadores de seguridad han descubierto otra pieza desagradable de malware diseñado específicamente para atacar los sistemas de control industrial (ICS) con el potencial de causar accidentes de salud y que amenazan la vida. Apodado Triton, también conocido como Trisis, el malware ICS ha sido diseñado para apuntar a los controladores Triconex del Sistema Instrumentado de Seguridad (SIS) fabricados por Schneider Electric, un sistema de control autónomo que monitorea de forma independiente el rendimiento de los sistemas críticos y toma medidas inmediatas automáticamente, si es peligroso.

Investigadores de la división Mandiant de la firma de seguridad FireEye publicaron un informe el jueves, sugiriendo que los atacantes patrocinados por el estado usaron el malware Triton para causar daño físico a una organización.

El nombre de la organización objetivo no ha sido revelado por los investigadores y no se ha vinculado el ataque a ningún grupo conocido de pirateo estatal.

De acuerdo con otra investigación realizada por la firma de ciberseguridad de ICS Dragos, que llama a este malware «TRISIS», el ataque se lanzó contra una organización industrial en el Medio Oriente.

Triton aprovecha el protocolo patentado de TriStation, que es una herramienta de ingeniería y mantenimiento utilizada por los productos Triconex SIS y no está documentada públicamente, lo que sugiere que los atacantes realizaron una ingeniería inversa al crear su malware.

«El atacante obtuvo acceso remoto a una estación de trabajo de ingeniería SIS e implementó el marco de ataque TRITON para reprogramar los controladores SIS», dijeron los investigadores de FireEye.

Los hackers implementaron Triton en una estación de trabajo de ingeniería SIS que ejecutaba el sistema operativo Windows enmascarando la aplicación Tricone Trilog legítima.

La versión actual del malware TRITON que los investigadores analizaron fue construida con muchas características, «incluyendo la capacidad de leer y escribir programas, leer y escribir funciones individuales y consultar el estado del controlador SIS».

«Durante el incidente, algunos controladores SIS entraron en un estado seguro fallido, que automáticamente cerró el proceso industrial y llevó al propietario del activo a iniciar una investigación», dijeron los investigadores.

Usando TRITON, un atacante normalmente puede reprogramar la lógica SIS para cerrar falsamente un proceso que es actual en un estado seguro. Aunque tal escenario no causaría ningún daño físico, las organizaciones pueden enfrentar pérdidas financieras debido al tiempo de inactividad del proceso.

Además de esto, los atacantes también pueden causar daños graves que amenazan la vida al reprogramar la lógica SIS para permitir que persistan las condiciones inseguras o al manipular intencionalmente los procesos para lograr primero el estado inseguro.

«El atacante implementó TRITON poco después de obtener acceso al sistema SIS, lo que indica que habían pre compilado y probado la herramienta que requeriría acceso a hardware y software que no está ampliamente disponible».

Los investigadores creen que Triton está surgiendo como una amenaza grave para las infraestructuras críticas, al igual que Stuxnet , IronGate e Industroyer , debido a su capacidad para causar daños físicos o cerrar operaciones.

Fuente: Thehackernews.

author image

About Reinaldo Alberto Valdiviezo Rojas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

También podría gustarte...

Samsung quiere que mines criptomonedas: fabricará hardware específico para ello.
Dragon Quest llegará en Realidad Virtual a Japón
La IA de Amazon, Alexa enseñará decir «por favor» y «gracias»
Científicos crean batería hasta 3 veces más eficaz para autos eléctricos