La Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los Estados Unidos ha sancionado a un grupo de expertos vinculado al gobierno ruso por apoyar programas maliciosos diseñados para desmontar sistemas de seguridad industrial críticos.
Lo que hace que el malware de Tritón, también conocido en otros lugares como TRISIS y HatMan, sea tan peligroso es su especificidad no sólo para manipular maquinaria, sino también su potencial para dañar a las personas. Está diseñado para apuntar a un controlador de sistema de control industrial (ICS) específico que se utiliza en algunas instalaciones de infraestructura crítica para iniciar procedimientos de cierre inmediato en caso de emergencia. El malware puede desplegarse mediante ataques de phishing y una vez que se afianza, los atacantes pueden coreografiar los controladores del ICS de la instalación en su beneficio.
Tal es la magnitud de la destrucción potencial de Tritón que los profesionales de la seguridad cibernética la han llamado “la actividad de amenaza más peligrosa conocida públicamente”. Tritón, que ha sido etiquetado como malware de edición limitada, forma parte de una serie de familias de software malicioso identificadas públicamente y dirigidas a los controladores de ICS.
Los funcionarios de los Estados Unidos creen que la entidad sancionada, una institución de investigación controlada por el Gobierno ruso denominada Centro de Investigación Estatal de la Federación de Rusia FGUP Instituto Central de Investigación Científica de Química y Mecánica (TsNIIKhM), es responsable de la construcción de herramientas personalizadas que han permitido los ataques a las instalaciones petroquímicas saudíes y a Schneider Electric en 2017.
TsNIIKhM ha sido sancionado por “participar a sabiendas en actividades importantes que socavan la seguridad cibernética contra cualquier persona, incluidas las instituciones democráticas, o el gobierno en nombre del Gobierno de la Federación de Rusia”. De acuerdo con la actuación del Departamento del Tesoro, se bloquean todos los bienes e intereses de propiedad de TsNIIKhM que estén en posesión de personas estadounidenses o que lleguen a estarlo, y en general se prohíbe a las personas estadounidenses realizar transacciones con ellos. Además, también se bloquean las entidades que sean propiedad en un 50% o más de una o más personas designadas. Por otra parte, las personas no estadounidenses que participen en determinadas transacciones con TsNIIKhM pueden estar expuestas a sanciones.
Todavía no está claro quién desarrolló el malware de Triton, dijeron los funcionarios, aunque se cree que TsNIIKhm es el protagonista principal. “El gobierno ruso sigue participando en peligrosas actividades cibernéticas dirigidas a los Estados Unidos y a nuestros aliados”, dijo el Secretario del Tesoro de los Estados Unidos, Steven Mnuchin. “Esta Administración continuará defendiendo agresivamente la infraestructura crítica de los Estados Unidos de cualquiera que intente interrumpirla”, dijo.
Triton fue diseñado para apuntar a un controlador específico del sistema de control industrial (ICS) utilizado en algunas instalaciones de infraestructura crítica para iniciar procedimientos de cierre inmediato en caso de emergencia. En el ataque petroquímico, el malware se desplegó inicialmente a través de una campaña de phishing. Una vez que el código maligno se afianzó, sus operadores intentaron manipular los controladores del SCI de la instalación. Durante el ataque, la instalación se cerró automáticamente después de que varios de los controladores de ICS entraran en un estado de seguridad fallido, impidiendo que se desplegara la funcionalidad completa del malware, y provocando una investigación que finalmente condujo al descubrimiento del malware.
En cuanto a las sanciones del Departamento del Tesoro, las fuerzas del orden estadounidenses no se han dedicado sistemáticamente a castigar a los ciberdelincuentes de manera similar, por ejemplo, a lo que ha hecho recientemente la Unión Europea, prefiriendo en su lugar emitir acusaciones. Hace dos meses, el Consejo Legislativo de la Unión Europea prohibió a seis piratas informáticos individuales y a tres organizaciones corruptas viajar o entrar en cualquiera de los 28 estados miembros de la UE y congeló sus activos en virtud de sus primeras sanciones relacionadas con el ciberespacio. Los autores, entre los que se encuentran dos ciudadanos chinos y cuatro rusos, estuvieron involucrados en los destacados ciberataques WannaCry, NotPetya y Cloud Hopper.
Con información de: Info Security Magazine.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian