Debido al comentario de algunos expertos en las redes sociales, incluso después de la falta de información sobre el evento y las reacciones exageradas de muchos, el incidente recibió una cobertura objetivamente incorrecta que sugiere ampliamente que una pieza de malware ha comprometido los «sistemas de misión crítica» en la Central Nuclear de Kudankulam .

¡Relajarse! Eso no es lo que pasó. El ataque simplemente infectó un sistema que no estaba conectado a ningún control crítico en la instalación nuclear.

Aquí hemos compartido una cronología de los eventos con una breve información sobre todo lo que sabemos hasta ahora sobre el ciberataque en la central nuclear de Kudankulam (KKNPP) en Tamil Nadu.

¿De dónde vino esta noticia?

La historia comenzó cuando el investigador de seguridad indio Pukhraj Singh tuiteó que informó hace unas meses a las autoridades indias sobre un malware que roba información, denominado Dtrack, que alcanzó con éxito «objetivos extremadamente críticos» en la central nuclear de Kudankulam.

Según Pukhraj, el malware logró obtener acceso a nivel de controlador de dominio en la instalación nuclear.

¿Qué es el malware Dtrack (vinculado a los hackers de Corea del Norte)?

Según un informe anterior publicado por investigadores de Kaspersky, Dtrack es un troyano de acceso remoto (RAT) destinado a espiar a sus víctimas e instalar varios módulos maliciosos en las computadoras seleccionadas, que incluyen:

  • keylogger,
  • ladrón de historial del navegador,
  • funciones que recopilan la dirección IP del host, información sobre redes disponibles y conexiones activas, lista de todos los procesos en ejecución y también la lista de todos los archivos en todos los volúmenes de disco disponibles.

Dtrack permite a los atacantes remotos descargar archivos a la computadora de la víctima, ejecutar comandos maliciosos, cargar datos desde la computadora de la víctima a un servidor remoto controlado por los atacantes, y más.

Según los investigadores, el malware Dtrack fue desarrollado por el Grupo Lazarus, un grupo de piratas informáticos que se cree que está trabajando en nombre de la agencia estatal de espionaje de Corea del Norte.

¿Cómo respondió el gobierno indio?

Inmediatamente después del tuit de Pukhraj, muchos usuarios de Twitter y políticos indios de la oposición, incluido el diputado del Congreso Shashi Tharoor, exigieron una explicación del gobierno indio sobre el presunto ciberataque, que nunca reveló al público.

En respuesta a los informes iniciales de los medios, la Corporación de Energía Nuclear de India (NPCIL), una entidad de propiedad del gobierno, emitió el martes una declaración oficial, negando cualquier ataque cibernético al sistema de control de la planta de energía nuclear.

«Esto es para aclarar que la Central Nuclear de Kudankulam (KNPP) y el Control de otras Centrales Nucleares de la India son independientes y no están conectados a una red cibernética externa e Internet. No es posible ningún ataque cibernético al Sistema de Control de la Central Nuclear» Lectura de la declaración NPCIL.

Para ser honesto, la declaración es objetivamente correcta, excepto la parte «no posible», ya que Pukhraj también estaba hablando sobre el compromiso de la red administrativa de TI, no los sistemas críticos que controlan la planta de energía.

El gobierno indio luego reconoció el ataque cibernético, pero …

Sin embargo, al abordar principalmente los informes falsos de los medios y los rumores de Stuxnet como el ataque de malware, el NPCIL, intencionalmente o no, dejó una pregunta importante sin respuesta:

si no los sistemas de control, ¿qué sistemas estaban realmente comprometidos?

Cuando la negación absoluta fracasó, NPCIL emitió el miércoles una segunda declaración, confirmando que efectivamente hubo un ataque cibernético, pero se limitó solo a una computadora conectada a Internet utilizada para fines administrativos, que está aislada de cualquier sistema de misión crítica en la central nuclear. instalaciones.

«La identificación del malware en el sistema NPCIL es correcta. El asunto fue transmitido por CERT-In cuando lo notaron el 4 de septiembre de 2019», dice la declaración de NPCIL.
«La investigación reveló que la PC infectada pertenecía a un usuario que estaba conectado a la red conectada a Internet. Esto está aislado de la red interna crítica. Las redes están siendo monitoreadas continuamente».
Aunque los piratas informáticos norcoreanos desarrollaron el malware, el gobierno indio aún no ha atribuido el ataque a ningún grupo o país.

¿Qué podrían haber logrado los atacantes?

Por razones de seguridad, las tecnologías de procesamiento de control en las centrales nucleares suelen estar aisladas de Internet o de cualquier otra computadora que esté conectada a Internet o a una red externa.

Dichos sistemas aislados también se denominan computadoras con espacio de aire y son comunes en entornos de producción o fabricación para mantener una brecha entre las redes administrativas y operativas.

Comprometer un sistema administrativo conectado a Internet no permite a los piratas informáticos manipular el sistema de control con espacio de aire. Aún así, ciertamente podría permitir a los atacantes infectar otras computadoras conectadas a la misma red y robar información almacenada en ellas.

Si pensamos como un hacker que quiere sabotear una instalación nuclear, el primer paso sería recopilar tanta información sobre la organización objetivo como sea posible, incluido el tipo de dispositivos y equipos que se utilizan en la instalación, para determinar las siguientes formas posibles de saltar a través de espacios de aire.

El malware Dtrack podría ser la primera fase de un ciberataque más grande que, afortunadamente, es detectado y genera la alarma antes de causar un caos.

Sin embargo, los investigadores o el gobierno aún no han revelado qué tipo de datos pudo robar el malware, cuyo análisis podría ser útil para arrojar más luz sobre la gravedad del incidente.

The Hacker News actualizará el artículo cuando haya más información disponible sobre este incidente. ¡Manténganse al tanto!

Fuente: thehackernews.com

Compartir