Un Laboratorio de investigación ruso apoyó la creación del Malware Triton


La firma de ciberseguridad FireEye afirma haber descubierto pruebas que demuestran la participación de un instituto de investigación de propiedad rusa en el desarrollo del malware TRITON que provocó el cierre inesperado de algunos sistemas industriales el año pasado, incluida una planta petroquímica en Arabia Saudita.

TRITON, también conocido como Trisis, es una pieza de software malicioso para los Sistemas de Control Industrial diseñado para atacar los controladores del Sistema de Instrumentación de Seguridad (SIS) de Triconex fabricados por Schneider Electric, que a menudo se usan en instalaciones de petróleo y gas.

El Sistema de seguridad instrumentado de Triconex es un sistema de control autónomo que monitorea de manera independiente el rendimiento de los sistemas críticos y toma acciones inmediatas automáticamente si se detecta un estado peligroso.

Dado que un hacker no puede crear malware de tales capacidades sin poseer los conocimientos necesarios de Sistemas de Control Industrial (ICS), los investigadores creen con "firmeza" que el laboratorio central de Investigación Científica de Química y Mecánica con sede en Moscú (CNIIHM) ЦНИИХМ) ayudó a los atacantes, llamados "TEMP.Veles", con conocimiento institucional para poder desarrollar TRITON y probar sus componentes en un entorno específico.

"TEMP.Veles ha empleado una dirección IP [87.245.143.140] registrada para CNIIHM para múltiples propósitos, incluida la supervisión de la cobertura de código abierto de TRITON, el reconocimiento de la red y la actividad maliciosa en apoyo de la intrusión de TRITON", escribió FireEye mientras señalaba la evidencia

Ni el gobierno ruso ni el instituto CNIIHM han respondido al informe FireEye, aunque podemos predecir la respuesta de Rusia, ya que el país ha negado reiteradamente tales acusaciones de empresas privadas de ciberseguridad en el pasado.

Lo que es preocupante es que los hackers detrás de Triton continuaron siendo una amenaza activa para la infraestructura crítica en todo el mundo, ya que el malware tiene la capacidad de causar daños severos y potencialmente mortales a una organización o de cerrar sus operaciones.