Trisis

All posts tagged Trisis

3.jpg

El malware Triton amenaza con destruir las redes eléctricas de los Estados Unidos

El desarrollo tecnológico no solo mejora nuestra calidad de vida, también nos coloca ante nuevos desafíos como es el estar alerta ante la posibilidad de un fuerte ataque cibernético a la infraestructura de un país. Estos ataques les cuestan a los países millones de dólares al año y nos mantiene vulnerables ante nuevas y más versátiles amenazas. Ahora, archivos maliciosos como los malware han adoptado características tan poderosas que pueden destruir sistemas e infraestructura de cualquier tipo. En siguiente post por ejemplo, te diremos cómo el malware Triton amenaza con destruir las redes eléctricas de los Estados Unidos.

El malware Triton amenaza con destruir las redes eléctricas de los Estados Unidos

Los responsables detrás del épico ataque Tritón, el cual en 2017 violentó y cerró un sistema de instrumentación de seguridad física en una planta petroquímica en Arabia Saudita, ahora se han descubierto sondeando las redes de decenas de empresas eléctricas tanto en Estados Unidos como en Asia y el Pacifico.

La firma de seguridad del sistema de control industrial (ICS) Dragos, que llama al grupo de ataque XENOTIME, afirma que los atacantes en realidad comenzaron a escanear redes de servicios eléctricos en las regiones de EE. UU a fines de 2018 utilizando herramientas y métodos similares a como lo hicieron con la planta petroquímica.

Estos hallazgos traen sobre la mesa la preocupación entre los expertos en seguridad de que el grupo Triton expandiría su alcance en la red eléctrica. Hasta la fecha, el único ataque exitoso conocido públicamente fue el de la planta de Arabia Saudita en 2017. En ese ataque, el malware Triton se descubrió incrustado en el controlador del sistema de seguridad de un cliente de Schneider Electric. El ataque  pudo haber sido catastrófico, pero un aparente paso en falso por parte de los atacantes cerró inadvertidamente el sistema Schneider Triconex Emergency Shut Down (ESD).

Dragos afirmo en su informe  que no existe evidencia en este momento de que XENOTIME pueda realizar un ataque cibernético tan potente que pudiera destruir los sistemas eléctricos pero aseguran que la actividad recién descubierta del grupo de hackers en torno a los proveedores de redes eléctricas es preocupante Sergio Caltagirone, vicepresidente de inteligencia sobre amenazas. en dragos dijo:

“XENOTIME, la amenaza cibernética más peligrosa del mundo, es un excelente ejemplo de la proliferación de amenazas en ICS. Lo que una vez se consideró una amenaza de petróleo y gas ahora también es una amenaza eléctrica”.

Por otro lado, FireEye Mandiant reveló a principios de este año que descubrió el código de ataque de Tritón instalado en una organización industrial de la cual no se revelo su identidad, lo que marca el primer ataque revelado públicamente por el grupo de Tritón desde el incidente original en la planta árabe. Los analistas de FireEye encontraron un conjunto de herramientas personalizadas de Triton vinculadas a la organización de esta segunda víctima y los atacantes dentro de la red corporativa de TI de la víctima.

Asimismo el grupo XENOTIME en 2018 también comprometió a varios proveedores de ICS, lo que generó la preocupación de que libraran ataques a la cadena de suministro. Es difícil saber cuál será su siguiente blanco pero las empresas de seguridad informática sin duda están muy preocupadas.

leer más
Diarleth G.El malware Triton amenaza con destruir las redes eléctricas de los Estados Unidos
Planta-industrial.jpg

Hackers detrás de ‘Trisis’ atacan otra instalación de infraestructura crítica

Los hackers detrás del notorio malware conocido como Trisis, código que se dirige a sistemas de seguridad cruciales en instalaciones industriales peligrosas, están de vuelta.

Investigadores de la firma de ciberseguridad FireEye que rastrearon a los piratas informáticos detrás de Trisis (también conocida como Tritón), que se enfocaron en una planta petroquímica saudí en 2017, encontraron que el mismo grupo ha infectado una segunda instalación no especificada de “infraestructura crítica“. El grupo estaba vinculado previamente al gobierno ruso.

FireEye no dijo quién era el nuevo objetivo. Esta es una práctica a veces común en los hackeos que son revelados por las empresas contratadas para responder a ellos; a las empresas de seguridad a menudo no se les permite revelar información sobre sus clientes. Infraestructura crítica es un término que se usa ampliamente en el mundo de la seguridad, pero a menudo se refiere a centrales eléctricas, instalaciones de tratamiento de agua, redes eléctricas y otras instalaciones de alto perfil que brindan importantes servicios sociales.

Poco más de un mes después de que Venezuela experimentara el peor y más costoso apagón eléctrico en su historia reciente, y que el presidente Madura atribuyera como un ataque electromagnético imperialista a los EEUU para desestabilizar a la región, sólo podemos especular que si efectivamente se trató de un ciberataque, Venezuela podría haber sido víctima del mismo (o una variante de) Trisis.

Apagón en Venezuela en Marzo, 2019 deja paralizado a gran parte del país por casi siete días.

La próxima generación en ciberataques

Desde su aparición en 2017, se describió a Trisis como “la próxima generación en ciberataques” que, por su propia existencia, intensificaría la carrera armamentista de hackeo global.

No hay muchos detalles disponibles sobre el segundo ataque, aparte de que se descubrió que el grupo estaba implementando malware creado especialmente para redes de TI tradicionales para robar credenciales y ejecutar comandos en máquinas remotas. Eso es a diferencia del ataque original de Trisis, que se dirigió directamente a los sistemas de control industrial. El nuevo descubrimiento apunta a la actividad continua de uno de los grupos de piratería más infames del mundo.

Los atacantes detrás de Trisis también tienen más trabajo en su currículum, incluyendo ciberataques a firmas industriales en EEUU.

El nuevo ataque reportado fue capturado en las primeras etapas de un intento de desarrollar la capacidad de causar daño físico en las instalaciones seleccionadas. Los defensores encontraron nuevos conjuntos de herramientas personalizadas, diseñadas para obtener acceso a los sistemas de sus objetivos.

Los investigadores también investigaron a profundidad al ataque de agosto de 2017 contra las instalaciones sauditas, revelando que los piratas informáticos pasaron más de un año trabajando metódicamente para obtener acceso sin alertar a los defensores. La cantidad de tiempo invertido y enfoque deliberado, según los investigadores, sugiere un enfoque en el trabajo silencioso que probablemente significa que están presentes en otras instalaciones específicas y aún no se han detectado.

El ataque de Trisis de 2017 podría haber destruido la instalación petroquímica saudita si el software no hubiera contenido un error. En lugar de causar un daño importante, el ataque solo provocó un cierre y puso en alerta al mundo de la ciberseguridad.

Historia de Malware ICS

La crisis pertenece a una clase de malware extremadamente rara y poderosa que se dirige a los sistemas industriales de control (ICS por sus siglas en Inglés).

  • En 2010, Stuxnet fue una de las ciberamenazas ICS más sofisticadas descubiertas. Esta arma cibernética fue creada para apuntar a centrífugas iraníes. Fue capaz de reprogramar un controlador lógico programable (PLC) particular para cambiar la velocidad de las rotaciones de la centrífuga. El objetivo de Stuxnet no era destruir, sino tomar el control del proceso industrial.
  • En 2013, el malware Havex se dirigió a las redes de energía, empresas de electricidad y muchos otros. Los atacantes recolectaron una gran cantidad de datos y monitorearon sistemas industriales de forma remota. Havex fue creado para espionaje y sabotaje.
  • BlackEnergy se descubrió en 2015. Se enfocó en infraestructura crítica y destruyó archivos almacenados en estaciones de trabajo y servidores. En Ucrania, 230.000 personas quedaron en la oscuridad durante seis horas después de que los piratas informáticos comprometieron varios centros de distribución de energía.
  • En 2015, IronGate fue descubierto en fuentes públicas. Se enfocó en los sistemas de control de Siemens y tenía funcionalidades similares a las de Stuxnet. No está claro si esto fue una prueba de concepto o una herramienta de prueba de penetración simple.
  • Industroyer (también llamado Crashoverride) volvió a golpear a Ucrania en 2016. El malware incorporó un componente de limpieza de datos y un módulo de denegación de servicios distribuidos. Fue diseñado para la destrucción. El ataque provocó un segundo cierre de la red eléctrica de Ucrania.
  • En 2017, Tritón/Trisis fue descubierto. El ataque no tuvo éxito; las consecuencias podrían haber sido desastrosas.

Estos ataques a menudo también son llevados a cabo por actores estado que pueden estar interesados ​​en prepararse para operaciones de contingencia en lugar de realizar un ataque inmediato“, señala el informe de FireEye. “Durante este tiempo, el atacante debe garantizar el acceso continuo al entorno objetivo o correr el riesgo de perder años de esfuerzo y la propiedad de malware tipo ICS potencialmente costoso. Este ataque no fue la excepción“.

El informe de FireEye contiene una lista de archivos, hashes, tácticas, técnicas y procedimientos (TTP) para ayudar a defenderse ante el grupo de hackers aún activo.

No solo se pueden usar estos TTP para encontrar evidencia de intrusiones, sino que la identificación de la actividad que tiene fuertes superposiciones con las técnicas favoritas del actor puede llevar a evaluaciones más sólidas de la asociación de actores, lo que refuerza aún más los esfuerzos de respuesta a incidentes“, señala el informe.

leer más
Isaul CarballarHackers detrás de ‘Trisis’ atacan otra instalación de infraestructura crítica
Triton-malware.jpg

Conoce a Tritón, el Malware capaz de destruir el mundo

Entre los tipos de virus más complejos están los malware. Un malware es un software malicioso que busca acceder a un computador o dispositivo móvil sin consentimiento del usuario y que puede plagiar una gran cantidad de datos sin que puedas detectarlo hasta que es demasiado tarde. Pero existen malwares dañinos, y Tritón (también conocido como Trisis), el malware más poderoso del mundo.

Tritón, el Malware más poderoso del mundo, capaz incluso de destruirlo

De todos los malware que han existido, Tritón es por mucho el ciberataque a equipos industriales más despiadado y destructivo del mundo y se está propagando. El código malicioso puede deshabilitar los sistemas industriales de control (SIC) y seguridad diseñados para evitar accidentes industriales catastróficos. El mismo fue descubierto en el Medio Oriente, y los piratas informáticos detrás de él están apuntando a compañías en América del Norte y otras partes del mundo.

Hace poco el consultor de ciberseguridad australiano, Julian Gutmanis, fue llamado con carácter de urgencia para hacer acto de presencia en una plata petroquímica en Arabia Saudita por una razón que le dejó la sangre helada.

Los piratas informáticos habían implementado un software malicioso o malware, que les permitió controlar los sistemas instrumentados de seguridad de la planta. Estos controladores físicos y su software asociado son la última línea de defensa contra desastres que amenazan la vida. Se supone que se activan si detectan condiciones peligrosas, devuelven los procesos a niveles seguros o los apagan por completo activando elementos como válvulas de cierre y mecanismos de liberación de presión.

El malware hizo posible controlar estos sistemas de forma remota. Si los intrusos los hubieran deshabilitaron o manipulado las consecuencias podrían haber sido catastróficas. Afortunadamente, una falla en el código alejó a los hackers antes de que pudieran hacer daño. En junio de 2017, provocó una respuesta de un sistema de seguridad que detuvo la planta. Luego, en agosto, otros sistemas se dispararon, causando otro cierre.

El primer apagón se creyó de forma errada que se trataba de una falla mecánica; Después del segundo, los dueños de la planta llamaron a los investigadores. Los detectives encontraron el malware, que desde entonces se ha denominado “Tritón”, para el modelo de controlador de seguridad Triconex al que se dirigió, fabricado por la compañía francesa Schneider Electric.

Al atacar la planta, los hackers cruzaron una aterradora línea. Esta fue la primera vez que el mundo de la ciberseguridad había visto un código diseñado deliberadamente para poner en riesgo vidas humanas. Los sistemas instrumentados de seguridad no solo se encuentran en plantas petroquímicas; también son la última línea de defensa en todo, desde sistemas de transporte hasta instalaciones de tratamiento de agua y centrales nucleares.

El descubrimiento de Tritón plantea preguntas sobre cómo los hackers pudieron ingresar a estos sistemas críticos. También llega en un momento en que las instalaciones industriales están incorporando conectividad en todo tipo de equipos, un fenómeno conocido como el Internet industrial de las cosas. Esta conectividad permite a los trabajadores monitorear equipos de forma remota y recopilar datos rápidamente para que puedan hacer las operaciones de forma más eficientes, pero también les permiten a los piratas informáticos acceder a más objetivos potenciales.

A pesar de que este hecho ocurrió en el 2017, los culpables no han sido capturados, ni siquiera parecen haber avanzado en la investigación. Recordemos que en los últimos tres años los hackers han evolucionado impresionantemente lo que nos hacen pensar ¿hasta dónde no serán capaces de llegar?

leer más
Diarleth G.Conoce a Tritón, el Malware capaz de destruir el mundo