Rusia, la nación estado que está detrás del malware industrial Triton

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Más conocido como Triton, aunque también responde como Trisis y Hatman, este malware centrado en equipamiento industrial fue detectado en noviembre de 2017 en Oriente Medio, apenas un mes antes de que la firma de seguridad FireEye lo lanzara al estrellato gracias a una investigación publicada en diciembre.

Sobre Triton dicen que es uno de los malware contra sistemas industriales más peligrosos de todos los tiempos y que su objetivo es instalar un Remote Access Trojan (RAT), que permita al atacante tomar el control remoto de los sistemas. Triton está especialmente diseñado para interactuar con los controladores Triconex Safety Instrumented System (SIS) de Schneider Electric. Es más, investigaciones de FireEye, Dragons y Symantec dicen que Triton está diseñado para detener los procesos de producción o permitir que la maquinaria controlada por SIS funcione en un estado inseguro.

Desde su descubrimiento FireEye ha estado realizando un seguimiento del malware y el grupo que lo ha estado utilizando, conocido como TEMP.Veles, que a punto estuvo el año pasado de causar una explosión en una planta petroquímica en Arabia Saudí. Sobre su creador, todo apuntaba a una nación estado, y lo que asegura ahora FireEye es que es el gobierno ruso quien está detrás de la criatura. En un post publicado esta semana la firma de seguridad dice tener una “gran confianza” en que es la Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM), una institución de investigación técnica propiedad del gobierno y ubicada en Moscú, quien desarrolló el malware.

Enumera FireEye algunos aspectos que le han llevado a apuntar hacia el gobierno ruso como autor del malware, entre ellos, “pruebas de múltiples vínculos independientes con Rusia, CNIIHM y una persona específica en Moscú. La actividad en línea de esta persona muestra enlaces significativos a CNIIHM”. También apuntan a que TEMP.Veles “ha empleado una dirección IP registrada en CNIIHM para múltiples propósitos, incluida la supervisión de la cobertura de código abierto de TRITON, el reconocimiento de la red y la actividad maliciosa en apoyo de la intrusión de TRITON”; que los patrones de comportamiento observados en la actividad TEMP.Veles son consistentes con la zona horaria de Moscú, donde se encuentra el CNIIHM y que, en general, consideran “que es probable que CNIIHM posea el personal y los conocimientos institucionales necesarios para ayudar en la orquestación y el desarrollo de las operaciones de TRITON y TEMP.Veles”.