Virus de Corea del Norte descubierto en una central nuclear india


A principios de esta semana, aparecieron rumores en las redes sociales de que se detectó malware en la central nuclear de Kudankulam en India. Ahora los representantes de la Corporación de Energía Atómica de la India (Corporación de Energía Nuclear de India Ltd, NPCIL) han confirmado oficialmente esta información.
Todo comenzó con el hecho de que el indio IB Investigación Puhradzh Singh ( Pukhraj Singh)  escribió en Twitter que hace unos meses, le dijo a las autoridades de la India sobre el malware Dtrack, que ha penetrado con éxito los "objetos extremadamente importantes" Kudankulam NPP. Según él, el malware logró obtener acceso a nivel de un controlador de dominio en una instalación nuclear.
El tweet del investigador atrajo mucha atención, porque hace varios días en la misma planta de energía nuclear uno de los reactores se detuvo inesperadamente, y muchos decidieron que el ataque era el culpable.
Inicialmente, la administración de la central nuclear negó que Kudankulam hubiera sido infectado de ninguna manera al emitir una declaración en la que los tweets de Singh se llamaban "información falsa" y el ataque cibernético "imposible".
Pero ahora, la Corporación de Energía Atómica de la India informó que las declaraciones de los representantes de las centrales nucleares no eran del todo ciertas y se produjo un ataque cibernético. La versión oficial de NPCIL dice que el malware penetró en la red administrativa de la planta de energía nuclear, infectando una computadora, pero no alcanzó la red interna crítica de la planta de energía nuclear, que se utiliza para controlar los reactores nucleares.
Además, NPCIL confirmó la información publicada por Singh, diciendo que a principios de septiembre realmente recibieron una notificación del CERT indio, cuando solo se detectó malware.
Permítanme recordarles que los investigadores asocian el malware Dtrack con el famoso grupo de piratas norcoreanos Lazarus. Por lo tanto, los expertos de Kaspersky Lab publicaron un informe detallado sobre el trabajo de Dtrack en septiembre de este año. Escribieron que Dtrack se usa comúnmente con fines de inteligencia y como cuentagotas para otro malware, y ATMDtrack estaba dirigido a instituciones financieras indias. Una lista incompleta de características de los ejecutables de carga útil Dtrack incluidos incluye:
  • keylogger;
  • obtener el historial del navegador;
  • recopilación de direcciones IP de host, información sobre redes disponibles y conexiones activas;
  • lista de todos los procesos en ejecución;
  • lista de todos los archivos en todas las unidades disponibles.
Además, contenían herramientas para la administración remota de la PC (Herramienta de administración remota, RAT). El archivo ejecutable RAT permite a los atacantes realizar diversas operaciones en el host, como descargar, iniciar archivos, etc.
Curiosamente, la muestra de malware a la que Singh llamó la atención incluyó credenciales codificadas para la red interna de Kudankulam NPP. Esto sugiere que el malware se creó especialmente para su distribución y trabajo dentro de la red de la planta de energía. Sin embargo, aún no está claro (los funcionarios no han comentado sobre esto) si este ataque fue objetivo o si la planta de energía nuclear se infectó accidentalmente, lo que también es muy probable debido a la reciente actividad de Dtrack en India, según advirtió Kaspersky Lab.


No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila