DTrack: el malware que puede hackear cualquier cosa, desde cajeros automáticos hasta plantas nucleares

Especialistas en seguridad en redes reportan que la Corporación de Energía Nuclear de India (NPCIL), compañía nuclear controlada por el gobierno, ha sido víctima de una infección de malware. Aunque los funcionarios de India no mencionaron explícitamente la instalación afectada, sí especificaron que el equipo infectado pertenece a una de las áreas administrativas de la planta nuclear, por lo que no está relacionado con los principales sistemas de control.   

Hace algunos días, Pukhraj Singh, experto en ciberseguridad que ha trabajado anteriormente con el gobierno de India, afirmó en sus redes sociales que la planta nuclear de Kudankulam estaba bajo ataque; aunque al principio las autoridades desmintieron sus afirmaciones, terminaron reconociendo el incidente esta mañana.

Respecto a la variante de malware utilizada en este ataque, los especialistas en seguridad en redes lo han identificado como DTrack, un virus vinculado a las actividades del peligroso grupo de hackers Lazarus, auspiciado por el gobierno de Corea del Norte. Al parecer se trata de una versión antigua del malware ATMDTrack, empleado para hackear cajeros automáticos en India.

Los investigadores de la firma de seguridad Kaspersky Lab han identificado al menos 180 versiones distintas del malware DTrack; estas versiones no varían demasiado entre sí, pues todas muestran un grupo similar de características que incluyen:

  • Recolección de pulsaciones del teclado (keylogging)
  • Recolección de historial de navegación
  • Recopilación de direcciones IP de host, redes disponibles y conexiones activas
  • Listado de cualquier proceso en ejecución
  • Listado de cualquier archivo en todos los volúmenes de disco disponibles

Para desplegar el ataque, los hackers requieren de cierto nivel de control sobre las redes internas de la organización objetivo, por lo que es necesario que existan previas debilidades de seguridad, como pobre manejo de contraseñas, falta de monitoreo del tráfico, entre otras fallas.

Acorde a los reportes de los expertos, este malware fue diseñado para su instalación en múltiples cajeros con el objetivo de capturar los datos de las tarjetas de las víctimas. Otra versión del malware fue detectada recientemente en los sistemas bancarios de Corea del Sur, así como en algunos casos de infección del ransomware WannaCry.

Los expertos en seguridad en redes detectaron actividad del grupo Lazarus por primera vez hace alrededor de 5 años, durante los ciberataques contra Sony que derivaron en filtraciones masivas de información confidencial. Con el paso del tiempo, los hackers de Lazarus han mostrado gran capacidad de evolución, logrando incluso comprometer la seguridad de los sistemas informáticos más sofisticados, como la red de pago interbancaria conocida como SWIFT.

Múltiples investigadores han vinculado la oleada de ataques en Corea del Sur y el brote de ransomware WannaCry a este grupo de hackers, que habría logrado hackear más de 2 mil millones de dólares para un programa de armas de destrucción masiva norcoreano.

Ante los recientes indicios de actividad de este grupo de hackers, expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los administradores de sistemas implementar medidas de protección, como el establecimiento de políticas de contraseñas y de red más estrictas, uso de software de monitoreo de tráfico y uso de las soluciones antivirus más sofisticadas que les sea posible.