1 nov. 2019

Malware del Grupo Lazarus encontrado en planta nuclear de la India

La red de una de las centrales nucleares de India estaba infectada con malware creado por delincuentes informáticos patrocinados por el estado de Corea del Norte, confirmó hoy la Corporación de Energía Nuclear de India Ltd (NPCIL). La noticia de que la planta de energía nuclear Kudankulam (KNPP) podría haber sido infectada con una peligrosa variedad de malware apareció por primera vez en Twitter el lunes.

Pukhraj Singh, ex analista de seguridad de la Organización Nacional de Investigación Técnica (NTRO) de la India, señaló que una carga reciente de VirusTotal en realidad estaba vinculada a una infección de malware en el KNPP.

La muestra particular de malware incluía credenciales codificadas para la red interna de KNPP, lo que sugiere que el malware se compiló específicamente para propagarse y operar dentro de la red de TI de la planta de energía.

Malware vinculado al Grupo Lazarus de Corea del Norte

Varios investigadores de seguridad identificaron el malware como una versión de Dtrack, un troyano de puerta trasera desarrollado por el Grupo Lazarus y APT38, la unidad de ataque de élite de Corea del Norte.

El tweet y la revelación de Singh se volvieron virales de inmediato porque solo unos días antes, la misma planta de energía tuvo un apagado inesperado de uno de sus reactores, y muchos usuarios combinaron los dos incidentes no relacionados como uno.

Inicialmente, los funcionarios de KNPP negaron haber sufrido alguna infección de malware, emitiendo una declaración para describir los tweets como "información falsa", y que un ataque cibernético en la planta de energía "no era posible".
Pero hoy, NPCIL, la compañía matriz de KNPP, admitió la violación de seguridad en una declaración separada. "La identificación del malware en el sistema NPCIL es correcta", comenzó la declaración.

NPCIL dijo que el malware solo infectó su red administrativa, pero no alcanzó su red interna crítica, la utilizada para controlar los reactores nucleares de la planta de energía. NPCIL dijo que las dos redes estaban aisladas.

Además, NPCIL confirmó las declaraciones hechas por Singh en Twitter; que recibieron una notificación de CERT India el 4 de septiembre, cuando se detectó el malware por primera vez, y que investigaron el asunto en el momento del informe.


Según un análisis del malware Dtrack de Kaspersky, este troyano incluye características para:
  • registro de teclas,
  • recuperando el historial del navegador,
  • recopilación de direcciones IP de host, información sobre redes disponibles y conexiones activas,
  • enumerando todos los procesos en ejecución,
  • enumerando todos los archivos en todos los volúmenes de disco disponibles.
Como es evidente por sus características, Dtrack generalmente se usa con fines de reconocimiento y como un dropper para otros tipos de malware más avanzados.

Las muestras anteriores de Dtrack generalmente se han visto en operaciones de ciberespionaje motivadas políticamente y en ataques a bancos, con una versión personalizada de Dtrack, llamada AMTDtrack, que también se descubrió el mes pasado.

Históricamente, el Grupo Lazarus o cualquier otro grupo de piratas informáticos de Corea del Norte, rara vez han perseguido objetivos en el sector energético e industrial. Cuando lo hicieron, fueron tras la propiedad intelectual patentada, en lugar del sabotaje.

La mayoría de los esfuerzos de ataque ofensivo de Corea del Norte se han centrado en obtener información sobre las relaciones diplomáticas, rastrear a los antiguos ciudadanos norcoreanos que huyeron del país o piratear bancos e intercambios de criptomonedas para recaudar fondos para el régimen de Pyongyang y financiar sus programas de armamentos.

El incidente KNPP se parece más a una infección accidental que a una operación bien planificada. Este parece ser el caso, ya que Kaspersky informó el mes pasado que el Grupo Lazarus había sido visto distribuyendo versiones Dtrack y AMDtrack en toda la India, apuntando a su sector financiero.

Fuente: ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!