Triton: un nuevo malware que ataca el control industrial

Aparece un nuevo malware diseñado para atacar industrias e infraestructuras y que funcionaba con un sistema de seguridad propiedad de Schneider Electric.

Los smartphones se han convertido en una nueva oportunidad para los ciberdelincuentes y el uso, cada vez más creciente de Internet, es una puerta de entrada para los atacantes. Utilizan técnicas que pasan desapercibidas por el usuario como el phising, que consiste en enviar enlaces, como anzuelo, a través de mails que aparentan ser fiables, pero que intentan robar los datos confidenciales de los usuarios.

¿Qué es un malware? El concepto hace referencia a cualquier tipo de software malicioso que trata de infectar tu ordenador, smartphone o cualquier otro dispositivo móvil de forma inadvertida, con el objetivo de extraer información personal, robar dinero o evitar que los propietarios accedan a su dispositivo.

Normalmente, el malware accede a tu dispositivo a través de Internet y del correo electrónico, aunque también es capaz de hacerlo a través de webs hackeadas, archivos de música, herramientas, suscripciones gratuitas o cualquier descarga de Internet.

Recientemente, hemos podido conocer otro caso de ataque a través de un malware: Triton, un nuevo malware diseñado para atacar industrias e infraestructuras. La semana pasada, el equipo de investigación de amenazas Mandiant de la empresa de seguridad informática FireEye reveló la existencia de este malware, y aseguraba que sus creadores apuntan a los controladores Triconex Safety Instrumented System, vendidos por Schneider Electric.

El objetivo era un gran ataque físico

La investigación señala que los ciberdelincuentes emplearon este malware para tomar el control de una estación de trabajo que ejecutaba Windows y que funcionaba con un sistema de seguridad propiedad de Schneider Electric. ¿Cómo actuaba el malware? Triton se hacía pasar por una aplicación legal y, una vez dentro del sistema, incorporaba un código que modifica el comportamiento de los sistemas de seguridad, para después reprogramar controladores que se utilizan para buscar posibles problemas de seguridad en la planta.

Los investigadores de FireEye señalan que han encontrado el programa malicioso en los sistemas de control industrial de una compañía ubicada en Oriente Medio, y que el objetivo era llevar a cabo un gran ataque contra una compañía no identificada. Después del problema, algunos de los controladores manipulados entraron en un modo a prueba de fallos, lo que causó que la interrupción del proceso industrial para iniciar un cierre seguro y se percataran del ataque.

Las personas encargadas de estudiar el caso comparan el comportamiento de Triton por su penetración en los sistemas de control industrial con un malware utilizado en los ataques Stuxnet e Industroyer. El primero, salió a la luz en 2010 tras infectar la central nuclear Natanz, en Irán. El segundo tuvo lugar en 2016 y atacó a la red eléctrica de Ucrania, dejando sin suministro a gran parte de su capital por una hora.

«Sigue a Stuxnet, que fue utilizado contra Irán en 2010; e Industroyer, que creemos fue desplegado por Sandworm Team contra Ucrania en 2016. Triton es consecuente con estos ataques, ya que podría evitar que los mecanismos de seguridad ejecuten su función prevista, lo que generaría consecuencias físicas», han afirmado los investigadores, tal y como recoge IT Digital Security.

Las compañías trabajan diariamente para investigar y mitigar este tipo de ataques, pero a veces se escapan de control.

Sobre el autor

RELACIONADOS