Malware Triton: la nueva arma cibernética que puede cerrar plantas de energía se filtra accidentalmente en la red
Un potente malware, llamado Triton o Trisis , que permite a los piratas informáticos obtener acceso remoto a los sistemas de seguridad de las instalaciones de energía, se ha filtrado accidentalmente en la red permitiendo que cualquier persona lo descargue. El malware es considerado por algunos expertos como un arma cibernética de nueva generación y ya fue utilizado en diciembre de 2017 para cerrar una instalación de petróleo y gas en Oriente Medio.
De acuerdo con investigaciones de múltiples firmas de ciberseguridad, incluidas FireEye, Dragos, Symantec y Trend Micro, es probable que el malware sea creado por un estado (se baraja la hipotesis de que sea de Korea del Norte) y se dirija a los sistemas de seguridad de los sistemas de control industrial (ICS). Triton apunta específicamente al sistema de instrumentos de seguridad (SIS) producido por Triconex de Schneider Electric.
Triton puede supuestamente permitir que los hackers desmantelen los sistemas de seguridad que pueden conducir a la avería de la maquinaria o incluso causar explosiones. Citando tres fuentes anónimas, Cyberscoop informó que el Framework de malware fue registrado involuntariamente a VirusTotal por Schneider Electric. Según se informa, el malware ha estado disponible públicamente desde el 22 de diciembre y podría incluso haber sido descargado por cualquiera.
Según los informes, el malware ha estado disponible públicamente desde el 22 de diciembre e incluso podría haber sido descargado por cualquier persona.
"De acuerdo con el protocolo de la industria, un empleado de Schneider Electric publicó un archivo en VirusTotal con el interés de permitir a los miembros de su proveedor de seguridad analizar y responder al nuevo malware. Poco después, Schneider Electric recibió una solicitud de un tercero para descargar el archivo y aceptó la solicitud ", le dijo un portavoz de Schneider Electric a CyberScoop.
A pesar de que Schneider Electric haya eliminado el código de VirusTotal, Cyberscoop informa que el código malicioso parece haber sido copiado y todavía está disponible a través de varias cuentas de github.
La habilidad del malware para causar daño físico parece haber sacudido a la comunidad INFOSEC. El malware fue supuestamente desarrollado desde mediados del año 2016 y antes de su divulgación pública, podría incluso haber valido millones de dólares en el mundo de los delitos cibernéticos.
"Trisis es el primero en apuntar específicamente a sistemas instrumentados de seguridad y es el que más me preocupa", dijo Robert Lee, CEO y fundador de dragos, a Cyberscoop. Trisis apuntó específicamente a un sistema diseñado para proteger la vida humana. Para mí eso es indignante y exasperante. Espero que este sea un momento decisivo para la comunidad de ingenieros ".
Sin embargo, los detalles importantes sobre Triton, tales como los creadores del malware, así como otras capacidades posibles, permanecen desconocidos. Las firmas de ciberseguridad, así como las agencias gubernamentales de los Estados Unidos, incluyendo la NSA y el DHS, todavía están analizando Triton.
Para acabar os dejamos un repositorio de github que contiene archivos originales y descompilados del malware TRISIS/TRITON/HATMAN