Malware que amenaza la vida: Tritón

Recientemente, los investigadores en seguridad han revelado otra peligrosa pieza de malware dirigida a los sistemas de control industrial (ICS). El código infeccioso se llama Triton y también se conoce como Tisis, diseñado para causar accidentes que ponen en riesgo la salud y la vida. Este raro tipo de malware ha aparecido en Oriente Medio y parece tener la capacidad de desactivar el sistema de seguridad industrial que se utiliza para salvar vidas humanas. En un informe publicado por investigadores de la división Mandiant se especifica que los atacantes ayudados por el estado utilizaban malware para causar daños físicos a una organización. Pero no hay mención de la organización ni del grupo de hackers.

¿Cuál es el propósito?

El malware ICS está diseñado para eliminar los controladores del Sistema Instrumentado de Seguridad (SIS) Triconex fabricados por Schneider Electric. Un sistema de control independiente que monitorea el rendimiento de los sistemas críticos, capaz de tomar acciones instantáneas automáticamente, si se detecta un riesgo.

Lea también: Cinco funciones importantes requeridas en un software antivirus para MAC

Triton controla el protocolo TriStation registrado, una herramienta de ingeniería y mantenimiento utilizada por los productos Triconex SIS. Toda esta información no está documentada, pero parece que los atacantes la rediseñaron mientras hacían el malware.
“El atacante obtuvo acceso remoto a una estación de trabajo de ingeniería SIS e implementó el marco de ataque TRITON para reprogramar los controladores SIS”. Los investigadores de FireEye dijeron.

¿Cómo se instala?

Los hackers enmascaran el código malicioso con una aplicación Triconex Trilog legítima. Esto ayuda a que el código malicioso Tisis se instale en una estación de trabajo de ingeniería SIS que ejecute el sistema operativo Windows.

Lea también: Keyloggers: ¿Cómo mantenerse protegido?

¿Es Peligroso?

La última versión del malware de TRITON tiene muchas características según los investigadores. Puede leer y escribir programas, funciones individuales y consultar el estado del controlador SIS.

“Durante el incidente, algunos controladores del SIS entraron en un estado de seguridad fallido, lo que paralizó automáticamente el proceso industrial y llevó al propietario del activo a iniciar una investigación”, dijeron los investigadores.

¿Qué obtiene un atacante de TRITON?

TRITON permite al atacante reprogramar la lógica del SIS de tal manera que apaga un proceso que se ejecuta en estado seguro. Esta configuración no causará ningún daño físico, pero seguramente las organizaciones tendrán que hacer frente a pérdidas financieras debido al tiempo de inactividad del proceso. Además de esto, los malos pueden reprogramar la lógica del SIS y causar daños graves que ponen en peligro la vida al permitir que se ejecuten condiciones inseguras o al cambiar deliberadamente los procesos para alcanzar primero un estado inseguro.

“El atacante desplegó TRITON poco después de obtener acceso al sistema SIS, indicando que habían pre-construido y probado la herramienta que requeriría acceso a hardware y software que no está ampliamente disponible”.

También lee: Scarab Ransomware apunta a cuentas de correo electrónico

Los investigadores están seguros de que Triton se está desarrollando como una grave amenaza para las infraestructuras críticas, como Stuxnet, IronGate e Industroyer, porque tiene la capacidad de causar daños físicos o cerrar operaciones.

//

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *