Sabotaje ruso en petroquímica saudí

Hackers originarios de Rusia habrían lanzado el malware Triton contra diversas instalaciones en Arabia Saudita

Hace unos días expertos en forense digital reportaron la existencia de un nuevo malware llamado GreyEnergy, utilizado atacar a organizaciones de alto perfil en los sectores industrial y energético, supuestamente operado por hackers rusos. Ahora, se ha revelado que las plantas petroquímicas en Arabia Saudita se han convertido en el nuevo objetivo de los ciberdelincuentes, quienes se piensa cuentan con estados nacionales respaldando sus operaciones contra otros países.

Según se informa, los hackers responsables de sabotear una planta petroquímica saudí en 2017 mediante una infección con malware fueron respaldados por el gobierno ruso. Cabe señalar que el año pasado, el sistema de control industrial instalado en las instalaciones de petróleo y gas de Arabia Saudita fue atacado con malware.

Una firma de ciberseguridad y forense digital había estado investigando el ataque a la Compañía de Industrialización Nacional de Arabia Saudita desde el 17 de diciembre pasado. En su último informe, la firma reveló que el malware, denominado Trisis o Triton, era una herramienta muy avanzada y podría haber generado una situación de seguridad crítica en la planta.

También se informó que el ataque de malware formaba parte de una operación de investigación realizada por el centro de investigación técnica de Rusia, el Instituto Central de Investigación Científica de Química y Mecánica (CNIIHM) en Moscú. La operación se llevó a cabo bajo el nombre clave de TEMP.Veles y el ataque con el malware Triton se lanzó contra las instalaciones de petróleo y gas de Arabia Saudí en el marco de este programa.

Cabe resaltar que el malware Triton fue desarrollado para sabotear los sistemas de control industrial fabricados por la empresa Schneider Electric. Estos sistemas generalmente son implementados en instalaciones de petróleo y gas. La investigación revela que los hackers detrás de la operación TEMP lograron infiltrarse en los sistemas de la organización saudí, inyectándolos con malware que finalmente se distribuyó a toda la red. Posteriormente, pudieron instalar y ejecutar el malware Triton para provocar daños físicos considerable a los sistemas apagando los controles de seguridad de la planta.

La firma que llevó a cabo la investigación también compartió la evidencia que sugiere la participación del gobierno de Rusia en el ataque. Se informó que la dirección IP utilizada por los actores maliciosos fue vinculada con el CNIIHM, mientras que los registros también mostraban que las principales operaciones de TEMP.Veles se llevaron a cabo durante el horario comercial estándar de Rusia.

Además, la mayor parte del desarrollo y pruebas iniciales del malware se encuentran vinculadas a una persona no identificada que trabajaba en CNIIHM al momento del desarrollo de Triton. Acorde a los investigadores, “múltiples herramientas únicas fueron desplegadas en el entorno de destino. Algunas de estas mismas herramientas fueron evaluadas en un entorno de prueba de malware por un solo usuario”.

“Si bien sabemos que TEMP.Veles implementó el marco de ataque de Triton, no tenemos evidencia específica para probar que CNIIHM desarrolló o no este malware”.

Los expertos descartan la participación de un agente interno de la empresa en este ataque en particular, afirmando que el alcance y la extensión de la operación es tal que no podría haber tenido éxito sin la participación de una institución.

Sin embargo, es poco probable que Rusia se adjudique la autoría de estos ataques, consideran expertos en forense digital del Instituto Internacional de Seguridad Cibernética. A nivel mundial, Rusia no ha enfrentado ninguna reacción importante a pesar de haber sido acusada más de una vez por lanzar ataques de malware contra organizaciones públicas y privadas en muchos países.

Tags: