La Corporación de Energía Nuclear de India Ltd (NPCIL) ha confirmado que la red de la central de Kudankulam (KNPP) fue infectada con malware creado por los ciberactores del grupo hacktivista Lazarus, el cual está patrocinado por el estado de Corea del Norte. Esto se dio a conocer después de que aparecieran en Twitter rumores de la posible infección.

La muestra particular de malware incluía credenciales codificadas para la red interna de KNPP, aparentando que el malware se compiló específicamente para propagarse y operar dentro de la red de TI de la planta de energía. Varios investigadores de seguridad identificaron el malware como una versión de Dtrack, un troyano desarrollado por el grupo Lazarus.

Los investigadores de la firma de seguridad Kaspersky Lab han identificado al menos 180 versiones distintas del malware DTrack, las cuales no presentan diferencias significativas entre sí. Sin embargo, las características similares que comparten son:

• Recolección de pulsaciones del teclado (keylogging).
• Recolección del historial de navegación.
• Recopilación de direcciones IP de host, redes disponibles y conexiones activas.
• Listado de cualquier proceso en ejecución.
• Listado de cualquier archivo en todos los volúmenes de disco disponibles.

Para desplegar el ataque, los ciberactores requieren tener cierto nivel de control sobre las redes internas de la organización objetivo, por lo que es necesario que existan vulnerabilidades como falta de políticas en el manejo de contraseñas y falta de monitoreo del tráfico, entre otras.

Acorde a los reportes de los expertos, este malware fue diseñado para su instalación en múltiples cajeros con el objetivo de capturar los datos de las tarjetas de las víctimas. Otra versión del malware se detectó recientemente en los sistemas bancarios de Corea del Sur.

NPCIL dio a conocer que el malware solo infectó su red administrativa pero no alcanzó la red interna crítica, la cual es utilizada para controlar los reactores nucleares de la planta de energía, dado que las dos redes se encontraban aisladas.

El incidente KNPP refleja más una infección accidental que una operación hacktivista, puesto que Kaspersky Lab informó que el grupo Lazarus distribuyó en el mes de septiembre versiones de Dtrack y AMDtrack en toda la India dirigidas al sector financiero.

Históricamente, el grupo Lazarus o cualquier otro grupo hacktivista de Corea del Norte, rara vez tienen como objetivos el sector energético e industrial; al presentarse el ataque, los ciberactores tenían como objetivo la propiedad intelectual y patentes, en lugar del sabotaje.

Referencias:
https://www.zdnet.com/article/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network/
https://noticiasseguridad.com/malware-virus/dtrack-el-malware-que-puede-hackear-cualquier-cosa-desde-cajeros-automaticos-hasta-plantas-nucleares/
https://www.ft.com/content/e43a5084-fbbb-11e9-a354-36acbbb0d9b6