Los piratas informáticos apuntan a la planta de energía nuclear india: todo lo que sabemos hasta ahora

Noticias 20 de marzo de 2022

ciberataque central nuclear india

Una historia ha estado circulando en Internet desde ayer sobre un ataque cibernético en una planta de energía nuclear india.

Debido a los comentarios de algunos expertos en las redes sociales, incluso después de la falta de información sobre el evento y las reacciones exageradas de muchos, el incidente recibió una cobertura objetivamente incorrecta que sugiere ampliamente que una pieza de malware ha comprometido los «sistemas de misión crítica» en el Planta de energía nuclear de Kudankulam.

¡Relajarse! Eso no es lo que pasó. El ataque simplemente infectó un sistema que no estaba conectado a ningún control crítico en la instalación nuclear.

Aquí hemos compartido una cronología de los eventos con información breve sobre todo lo que sabemos hasta ahora sobre el ataque cibernético en la planta de energía nuclear de Kudankulam (KKNPP) en Tamil Nadu.

¿De dónde salió esta noticia?

La historia comenzó cuando el investigador de seguridad indio Pukhraj Singh tuiteó que informó a las autoridades indias hace unos meses sobre un malware de robo de información, denominado Dtrack, que alcanzó con éxito «objetivos extremadamente críticos para la misión» en la planta de energía nuclear de Kudankulam.

Según Pukhraj, el malware logró obtener acceso a nivel de controlador de dominio en la instalación nuclear.

¿Qué es el malware Dtrack (vinculado a los piratas informáticos de Corea del Norte)?

Según un informe anterior publicado por investigadores de Kaspersky, Dtrack es un troyano de acceso remoto (RAT) destinado a espiar a sus víctimas e instalar varios módulos maliciosos en las computadoras objetivo, que incluyen:

  • registrador de teclas,
  • ladrón del historial del navegador,
  • funciones que recopilan la dirección IP del host, información sobre las redes disponibles y las conexiones activas, la lista de todos los procesos en ejecución y también la lista de todos los archivos en todos los volúmenes de disco disponibles.

Dtrack permite a atacantes remotos descargar archivos a la computadora de la víctima, ejecutar comandos maliciosos, cargar datos desde la computadora de la víctima a un servidor remoto controlado por atacantes y más.

Según los investigadores, el malware Dtrack fue desarrollado por Lazarus Group, un grupo de piratería que se cree que trabaja en nombre de la agencia estatal de espionaje de Corea del Norte.

¿Cómo respondió el gobierno indio?

Inmediatamente después del tuit de Pukhraj, muchos usuarios de Twitter y políticos de la oposición india, incluido el diputado del Congreso Shashi Tharoor, pidió una explicación del gobierno indio sobre el presunto ataque cibernético, que nunca reveló al público.

En respuesta a los informes iniciales de los medios, la Corporación de Energía Nuclear de India (NPCIL), una entidad propiedad del gobierno, emitió el martes una declaración oficial, negando cualquier ataque cibernético al sistema de control de la planta de energía nuclear.

«Esto es para aclarar que la planta de energía nuclear de Kudankulam (KNPP) y el control de otras plantas de energía nuclear de la India son independientes y no están conectados a una red cibernética e Internet externas. No es posible ningún ataque cibernético en el sistema de control de la planta de energía nuclear». Se lee la declaración NPCIL.

Para ser honesto, la declaración es objetivamente correcta, excepto la parte «no posible», ya que Pukhraj también estaba hablando sobre el compromiso de la red de TI administrativa, no de los sistemas críticos que controlan la planta de energía.

El gobierno indio reconoció más tarde el ciberataque, pero…

Sin embargo, aunque principalmente abordó los informes falsos de los medios y los rumores de Stuxnet como un ataque de malware, el NPCIL, intencionalmente o no, dejó una pregunta importante sin respuesta:

Si no son sistemas de control, ¿qué sistemas se vieron realmente comprometidos?

Cuando la negación absoluta fracasó, NPCIL emitió el miércoles una segunda declaración, confirmando que efectivamente hubo un ataque cibernético, pero que se limitó solo a una computadora conectada a Internet utilizada con fines administrativos, que está aislada de cualquier sistema de misión crítica en la central nuclear. instalaciones.

«La identificación de malware en el sistema NPCIL es correcta. CERT-In transmitió el asunto cuando lo notaron el 4 de septiembre de 2019», se lee en el comunicado de NPCIL.

«La investigación reveló que la PC infectada pertenecía a un usuario que estaba conectado a la red conectada a Internet. Esta está aislada de la red interna crítica. Las redes están siendo monitoreadas continuamente».

Aunque los piratas informáticos de Corea del Norte desarrollaron el malware, el gobierno indio aún no ha atribuido el ataque a ningún grupo o país.

¿Qué podrían haber logrado los atacantes?

Por razones de seguridad, las tecnologías de procesamiento de control en las centrales nucleares suelen estar aisladas de Internet o de cualquier otra computadora que esté conectada a Internet oa una red externa.

Dichos sistemas aislados también se denominan computadoras con espacio de aire y son comunes en entornos de producción o fabricación para mantener una brecha entre las redes administrativas y operativas.

Comprometer un sistema administrativo conectado a Internet no permite que los piratas informáticos manipulen el sistema de control con brechas de aire. Aún así, ciertamente podría permitir a los atacantes infectar otras computadoras conectadas a la misma red y robar información almacenada en ellas.

Si pensamos como un hacker que quiere sabotear una instalación nuclear, el primer paso sería recopilar la mayor cantidad de información posible sobre la organización objetivo, incluido el tipo de dispositivos y equipos que se utilizan en la instalación, para determinar las siguientes formas posibles de saltar. a través de espacios de aire.

El malware Dtrack podría ser la primera fase de un ciberataque más grande que, afortunadamente, se detecta y da la alarma antes de causar el caos.

Sin embargo, aún no se ha revelado, ni por parte de los investigadores ni del Gobierno, qué tipo de datos pudo robar el malware, cuyo análisis podría ser útil para arrojar más luz sobre la gravedad del incidente.

The Hacker News actualizará el artículo cuando haya más información disponible sobre este incidente. ¡Manténganse al tanto!

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested