El desarrollo tecnológico no solo mejora nuestra calidad de vida, también nos coloca ante nuevos desafíos como es el estar alerta ante la posibilidad de un fuerte ataque cibernético a la infraestructura de un país. Estos ataques les cuestan a los países millones de dólares al año y nos mantiene vulnerables ante nuevas y más versátiles amenazas. Ahora, archivos maliciosos como los malware han adoptado características tan poderosas que pueden destruir sistemas e infraestructura de cualquier tipo. En siguiente post por ejemplo, te diremos cómo el malware Triton amenaza con destruir las redes eléctricas de los Estados Unidos.
El malware Triton amenaza con destruir las redes eléctricas de los Estados Unidos
Los responsables detrás del épico ataque Tritón, el cual en 2017 violentó y cerró un sistema de instrumentación de seguridad física en una planta petroquímica en Arabia Saudita, ahora se han descubierto sondeando las redes de decenas de empresas eléctricas tanto en Estados Unidos como en Asia y el Pacifico.
La firma de seguridad del sistema de control industrial (ICS) Dragos, que llama al grupo de ataque XENOTIME, afirma que los atacantes en realidad comenzaron a escanear redes de servicios eléctricos en las regiones de EE. UU a fines de 2018 utilizando herramientas y métodos similares a como lo hicieron con la planta petroquímica.
Estos hallazgos traen sobre la mesa la preocupación entre los expertos en seguridad de que el grupo Triton expandiría su alcance en la red eléctrica. Hasta la fecha, el único ataque exitoso conocido públicamente fue el de la planta de Arabia Saudita en 2017. En ese ataque, el malware Triton se descubrió incrustado en el controlador del sistema de seguridad de un cliente de Schneider Electric. El ataque pudo haber sido catastrófico, pero un aparente paso en falso por parte de los atacantes cerró inadvertidamente el sistema Schneider Triconex Emergency Shut Down (ESD).
Dragos afirmo en su informe que no existe evidencia en este momento de que XENOTIME pueda realizar un ataque cibernético tan potente que pudiera destruir los sistemas eléctricos pero aseguran que la actividad recién descubierta del grupo de hackers en torno a los proveedores de redes eléctricas es preocupante Sergio Caltagirone, vicepresidente de inteligencia sobre amenazas. en dragos dijo:
“XENOTIME, la amenaza cibernética más peligrosa del mundo, es un excelente ejemplo de la proliferación de amenazas en ICS. Lo que una vez se consideró una amenaza de petróleo y gas ahora también es una amenaza eléctrica”.
Por otro lado, FireEye Mandiant reveló a principios de este año que descubrió el código de ataque de Tritón instalado en una organización industrial de la cual no se revelo su identidad, lo que marca el primer ataque revelado públicamente por el grupo de Tritón desde el incidente original en la planta árabe. Los analistas de FireEye encontraron un conjunto de herramientas personalizadas de Triton vinculadas a la organización de esta segunda víctima y los atacantes dentro de la red corporativa de TI de la víctima.
Asimismo el grupo XENOTIME en 2018 también comprometió a varios proveedores de ICS, lo que generó la preocupación de que libraran ataques a la cadena de suministro. Es difícil saber cuál será su siguiente blanco pero las empresas de seguridad informática sin duda están muy preocupadas.