Los expertos en seguridad de FireEye encontraron evidencia que vincula el desarrollo del malware Triton también conocido como Trisis y HatMan a un instituto de investigación del gobierno ruso.
En diciembre de 2017, los expertos de FireEye descubrieron una nueva variedad de malware denominado Triton que fue diseñado específicamente para apuntar a los sistemas de control industrial (ICS).
El malware Triton se ha utilizado en ataques dirigidos a una organización de infraestructura crítica en el Medio Oriente. Los expertos especulan la participación de un actor patrocinado por el estado con fines de sabotaje debido a la falta de motivación financiera y el nivel de sofisticación de los ataques.
Según los expertos de la firma Dragos, los actores de amenazas detrás del malware rastreado como Xenotime han existido desde al menos 2014, el grupo APT se descubrió en 2017 después de que cerraran una organización de infraestructura crítica en algún lugar de Arabia Saudita.
El malware Triton está diseñado para atacar a los controladores del Sistema de Seguridad de Instrumentos (SIS) Triconex de Schneider Electric que se utilizan en entornos industriales para monitorear el estado de un proceso y restaurarlo a un estado seguro o apagarlo de forma segura si los parámetros indican una situación potencialmente peligrosa.
Una vez que obtuvo acceso al sistema SIS, el actor de amenazas implementó el malware TRITON, una circunstancia que indica que los atacantes tenían conocimiento de tales sistemas. De acuerdo con FireEye, los atacantes construyeron y probaron la herramienta que requeriría acceso a hardware y software que no está ampliamente disponible. TRITON también está diseñado para comunicarse utilizando el protocolo propietario de TriStation que no está documentado públicamente, esto implica que los atacantes diseñaron el protocolo a la inversa para llevar a cabo el ataque.
El malware Triton interactúa con los controladores SIS de Triconex. Puede leer y escribir programas y funciones desde y hacia el controlador.
Los expertos de FireEye descubrieron un vínculo entre el malware Triton, rastreado por la empresa como TEMP.Veles, y el Instituto Central de Investigación Científica de Química y Mecánica (CNIIHM), un instituto de investigación del gobierno ruso en Moscú.
Tritón vinculado a Rusia
FireEye recopiló pruebas sólidas que sugieren que el instituto ruso CNIIHM ha participado en el desarrollo de algunas de las herramientas utilizadas en el ataque de Tritón.
“FireEye Intelligence evalúa con gran confianza que la actividad de intrusión que llevó al despliegue de TRITON fue apoyada por el Instituto Central de Investigación Científica de Química y Mecánica (CNIIHM; también conocido como ЦНИИХМ), una institución de investigación técnica del gobierno ruso ubicada en Moscú. Los siguientes factores que respaldan esta evaluación se detallan más detalladamente en esta publicación ”. Lee el análisis publicado por FireEye.
- FireEye descubrió una actividad de desarrollo de malware que es muy probable que respalde la actividad TEMP .Veles . Esto incluye probar varias versiones de software malicioso, algunas de las cuales fueron utilizadas por TEMP .Veles durante la intrusión de TRITON.
- La investigación de esta actividad de prueba revela múltiples vínculos independientes con Rusia, CNIIHM y una persona específica en Moscú. La actividad en línea de esta persona muestra enlaces significativos a CNIIHM.
- TEMP.Veles ha empleado una dirección IP registrada para CNIIHM para múltiples propósitos, incluida la supervisión de la cobertura de código abierto de TRITON, el reconocimiento de la red y la actividad maliciosa en apoyo de la intrusión de TRITON.
- Los patrones de comportamiento observados en la actividad TEMP .Veles son consistentes con la zona horaria de Moscú, donde se encuentra el CNIIHM.
- Consideramos que es probable que CNIIHM posea el personal y los conocimientos institucionales necesarios para ayudar en la orquestación y el desarrollo de las operaciones de TRITON y TEMP .Veles ".
Los expertos señalaron que Tritón está vinculado a Rusia, la CNIIHM y una persona ubicada en Moscú. Algunas de las herramientas de pirateo TEMP.Veles se probaron utilizando un servicio de escaneo en línea sin nombre. Un usuario específico del servicio que ha estado activo desde 2013 ha probado varias herramientas a lo largo del tiempo.
El usuario también probó varias versiones personalizadas de herramientas ampliamente disponibles, incluyendo Metasploit, Cobalt Strike, PowerSploit, WMImplant basado en PowerShell y cryptcat.
En muchos casos, las versiones personalizadas de las herramientas se usaron en los ataques de TEMP.Veles solo días después de ser enviadas al entorno de prueba.
Los expertos descubrieron que una ruta de PDB contenida en un archivo probado incluía una cadena que parece ser un apodo en línea asociado con una persona con sede en Rusia activa en las comunidades de seguridad de la información de Rusia desde al menos 2011.
De acuerdo con un perfil de redes sociales ahora difunto, el individuo era profesor en CNIIHM.
FireEye también descubrió que una dirección IP registrada en el instituto de investigación ruso estaba involucrada en los ataques de Triton.
"Si bien sabemos que TEMP .Veles implementó el marco de ataque TRITON, no tenemos evidencia específica para probar que CNIIHM desarrolló (o no desarrolló) la herramienta", continúa el experto.
"Inferimos que es probable que CNIIHM mantenga la experiencia institucional necesaria para desarrollar y hacer un prototipo de TRITON sobre la base de la misión autodescrita del instituto y otra información pública".
Los expertos no pueden excluir que algunos empleados de CNIIHM llevaron a cabo el ataque sin ninguna participación del instituto.
Fecha actualización el 2021-10-24. Fecha publicación el 2018-10-24. Categoría: malware Triton Autor: Oscar olg Mapa del sitio Fuente: securityaffairs