El malware destinado a atacar sistemas de control industrial no es algo reciente, por ejemplo, en 2010 el malware Stuxnet infectó una planta nuclear iraní además de infectar a otros dispositivos, en 2016 Industroyer ocasionó graves problemas en Ucrania.

 

A finales del año 2017 investigadores de FireEye descubrieron un malware destinado a atacar los Sistemas de Control Industrial (ICS) denominado Triton o Trisis. Este malware fue creado para interactuar con los controladores Triconex Safety Instrumentes System (SIS) y cuyo fabricante es Schneider Electric.

 

SIS monitoriza de forma independiente el rendimiento y funcionamiento de los sistemas criticos, para así poder tomar medidas inmediatas automáticamente en el caso de que ocurriese algún desperfecto que pudiera ocasionar un daño a los trabajadores o a la infraestructura de la planta.

 

El malware infecta equipos con sistema operativo Windows y que se encuentren conectados al SIS e inyecta código malicioso en el Sistema de Seguridad instrumentado, provocando así una modificación del comportamiento normal del sistema para ignorar cualquier condición peligrosa poniendo en peligro todo el Sistema de Control Industrial, así como a los trabajadores de la planta.

 

Aunque se desconocen las víctimas concretas del ataque, así como el número de ellas, Symantec apunta a que Triton ha sido utilizado contra al menos una organización en Oriente Medio.

 

Triton utiliza el protocolo TriStation utilizado por los SIS de Triconex y del cual no hay documentación pública, por lo que los desarrolladores del malware previsiblemente habrían utilizado ingeniería inversa para crear el malware o bien han diseñado de forma independiente el protocolo necesario para realizar el ataque; adicionalmente solo es posible la infección si el atacante tiene acceso remoto o físico a las estaciones de trabajo del SIS.

 

Actualmente se puede encontrar en GitHub las muestras originales y de código fuente del malware Triton utilizados para el ataque a Sistemas de Control Industrial listos para su descarga y pruebas en entornos controlados de pruebas.

 

Plácida Fernández

Cibersecurity Departament

Áudea Seguridad de la Información