Han pasado casi dos años desde que el infame malware Tritón fue publicado . Muchos detalles nunca se dieron a conocer por razones de seguridad, pero como los lectores estan enterados, una instalación petroquímica muy grande en Arabia Saudita observó un día que su sistema de seguridad, el producto Triconex de Schneider Electric , estaba activando y cerrando la producción, y no encontraon la razon. Trajeron a Schneider Electric y luego a expertos en malware, incluido FireEye, y pronto descubrieron que el culpable era un malware que había infectado su sistema.
Lo que fue especialmente perturbador acerca de la situación es que esta es la primera vez que sabemos de un malaware específicamente dirigido a la seguridad y no a la producción ni a los recursos financieros. Si no hubiera disparado el sistema Triconex, este malware habría comprometido las cajas de seguridad contra fallas que protegen a los seres humanos y podría haber provocado lesiones y muertes masivas. Imagínese, por ejemplo, si el equipo pesado ya no se detuviera automáticamente si una persona realiza reparaciones o por accidente, o si los operadores ya no reciben alertas sobre el aumento de la temperatura o la presión en tanques de ácido o químicos. Podría ser un desastre.
Actualización de Malware Triton: informe de atribución publicado
A finales de 2018, FireEye publicó un Informe de atribución que afirmaba con un alto grado de confianza que el gobierno ruso apoyaba el despliegue de Triton. Para ser más específico, por una institución de investigación técnica con sede en Moscú llamada Instituto Central de Investigación Científica de Química y Mecánica, que incluye personas específicas bien conocidas por su experiencia en la explotación maliciosa de vulnerabilidades cibernéticas. En otras palabras, esto parece ser una hazaña de estado-nación.
Fue una suerte que la participación errónea del sistema de seguridad condujo al descubrimiento del malware, en lugar de un verdadero fallo del sistema de seguridad, para que nadie resultara herido. No podemos saber si esta fue la intención de Triton (anunciarle al mundo que existe esta tecnología) o si fue una falla en el malware que inadvertidamente llamó la atención de manera prematura. También es posible que el código fuera un tipo de «célula durmiente» destinada a permanecer en silencio en el sistema por tiempo indefinido hasta que los hackers tuvieran razones para activarlo. Podría haber sido una advertencia, o los primeros pasos para chantajear, y / o los autores podrían estar promocionando su capacidad para explotar un sistema de seguridad ampliamente implementado en uso en todo el mundo. Por supuesto, nadie en Rusia se está adelantando para explicar su razonamiento, pero la existencia de malware como Triton apunta a las posibilidades de atemorizar nuevas fronteras en la guerra cibernética.
Nuevos ataques de Triton Malware
Aunque FireEye no ha revelado toda la evidencia que los llevó a sus conclusiones de Atribución, recientemente anunciaron que gran parte de la evidencia que habían descubierto en línea que apuntan a la instalación rusa parece estar siendo borrada sistemáticamente, tal vez agregando credibilidad a sus conclusiones. Sin embargo, han publicado algunos detalles más sobre las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes de Tritón, que pueden ayudar a los investigadores y expertos en seguridad cibernética a anticipar y contrarrestar los movimientos futuros.
Hablando de lo cual, aunque no pueden proporcionar demasiados detalles, FireEye informó en abril que fueron convocados para investigar un ataque adicional del mismo grupo, nuevamente en una instalación de infraestructura crítica. Dijeron que el malware específico de Triton no estaba involucrado, pero no sabemos si los atacantes «mejoraron» ese código o si es algo con un impacto totalmente diferente. En cualquier caso, asumimos que FireEye usó las TTP que identificaron para atribuir los nuevos ataques al mismo grupo. A menudo, los TTP se pueden usar para atribuciones, así como el modus operandi de un ladrón en serie, un asesino u otro criminal puede ayudar a vincular delitos o identificar sospechosos.
Protégete a través de la visibilidad
La seguridad cibernética es un juego constante del gato y el ratón entre los buenos y los malos, pero, afortunadamente, es posible mantenerse a la vanguardia de la mayoría de los ataques, y no depender de la suerte o las deficiencias de malware o de lo que sea que haya terminado salvando la planta saudí. El primer paso es obtener visibilidad de su sistema, ser alertado instantáneamente de cualquier cambio en la red e investigarlo de inmediato. Es especialmente importante ahora, ya que parece que las apuestas son incluso más altas que el dinero ahora, son las vidas humanas reales las que podrían estar en riesgo.
acerca del autor: Zane Blomgren es Ingeniero de Seguridad Senior en Tripwire. Durante su permanencia de 14 años en Tripwire, ha desempeñado diversos cargos, entre ellos, ingeniero de preventa y consultor de servicios profesionales de postventa. Con más de 20 años de experiencia en seguridad cibernética, Zane ha sido llamado para ayudar a construir controles de seguridad fundamentales y ayudar después de que hayan comenzado los ataques cibernéticos en compañías de todo el mundo. Zane se casa con su pasión por la seguridad y su interés en colaborar y aprender de una amplia variedad de clientes para aplicar las mejores prácticas, incluso en las situaciones más difíciles, para crear sistemas más confiables y seguros para organizaciones en sectores como Energía, Transporte, Fabricación y muchos más. otros.
toda la información del presente blog es propeidad de Belden y cuenta con todos los derechis reservados.
esta es una traducción y adaptación de: https://www.belden.com/blog/industrial-security/triton-malware-emphasizes-need-for-cyber-security?utm_campaign=ISD-2019-GL-Industrial-Security-Blog&utm_source=hs_email&utm_medium=email&utm_content=73812069&_hsenc=p2ANqtz–2CtSIO8rdfCI98jog23ut5X7pbyMbHxqvkGyjUF9SQAaS4Hy-YMGMbLdlmQ8gZbc0qeNviM4n6QLfT2vXeYq-n1Xg87XSAIoYQ73mmmCWCqDdW2I&_hsmi=73812550