Móvil Así se propaga Triton, el malware que amenaza a la industria mundial

Un grupo de ciberatacantes controló remotamente los sistemas de seguridad de una planta petroquímica saudí con un dañino malware. Aunque fueron interceptados en 2017, las consecuencias podían haber sido catastróficas. Ahora, el equipo que creó a Triton estaría planeando ataques en otros lugares.

Ariel Davis

Como experimentado experto en ciberseguridad, a Julian Gutmanis le habían llamado muchas veces con anterioridad para ayudar a las empresas a lidiar con las consecuencias de los ataques cibernéticos. Pero cuando este consultor de seguridad australiano fue citado a una planta petroquímica en Arabia Saudí en el verano de 2017, lo que encontró ahí le heló la sangre.

Los ciberdelincuentes habían desplegado malware (software malicioso), lo que les permitía controlar los sistemas instrumentados de seguridad de la fábrica. Estos controladores físicos y su software asociado representan la última línea de defensa contra los desastres que amenazan la vida de las personas. Se deberían activar si detectan algunas situaciones peligrosas para volver a poner en funcionamiento el nivel seguro o apagar los sistemas por completo activando las válvulas de cierre y los mecanismos de liberación de presión.

El malware hizo posible controlar estos sistemas de forma remota. Si los intrusos hubieran logrado deshabilitarlos o manipularlos y después usar otro software para que la maquinaria de la fábrica funcionara mal, las consecuencias podían haber sido catastróficas. Afortunadamente, un error en el código descubrió a los ciberatacantes antes de que pudieran hacer daño. En junio de 2017, eso provocó una respuesta del sistema de seguridad que paralizó la fábrica. Después, en agosto, se activaron varios sistemas adicionales, causando otro apagón.

El primer corte de servicio se atribuyó erróneamente a un fallo mecánico. Después del segundo, los dueños de la planta llamaron a los investigadores. Los detectives descubrieron el malware, apodado “Triton” desde entonces (o, a veces, “Trisis”) por el modelo del sistema de seguridad llamado Triconex al que fue dirigido, creado por la compañía francesa Schneider Electric.

En el peor de los casos, el código malicioso podía haber causado explosiones o la liberación de gas de sulfuro de hidrógeno tóxico, poniendo en riesgo tanto las vidas de las personas en la fábrica como las del área circundante.

Gutmanis recuerda que lidiar con el malware en esta planta petroquímica, que se había reiniciado después del segundo incidente, fue una experiencia muy estresante. “Sabíamos que no podíamos confiar en la integridad de los sistemas de seguridad“, cuenta. “La situación no pudo ser peor”.

Al atacar la fábrica, los delincuentes cruzaron el aterrador Rubicón. Fue la primera vez que el mundo de la ciberseguridad se encontró con un código diseñado deliberadamente para poner en peligro las vidas humanas. Los sistemas instrumentados de seguridad no se encuentran solamente en las plantas petroquímicas; también son la última línea de defensa en sistemas como los de transporte, en las instalaciones de tratamiento de agua y en las centrales nucleares.

El descubrimiento de Triton planteó preocupaciones sobre cómo los atacantes pudieron entrar en estos sistemas críticos. También ocurrió en un momento en el que las instalaciones industriales estaban introduciendo la conectividad en todo tipo de aparatos, un fenómeno conocido como internet industrial de las cosas. Esta conectividad permite a los trabajadores controlar la maquinaria de forma remota y recopilar datos rápidamente para llevar a cabo las operaciones de forma más eficiente, pero también ofrece más objetivos potenciales a los atacantes.

Los creadores de Triton ahora están buscando nuevas víctimas. Dragos, una empresa especializada en ciberseguridad industrial, en la que trabaja Gutmanis actualmente, afirma haber encontrado durante el año pasado evidencias de que el grupo que ha creado este malware y lo ha introducido en la fábrica de Arabia Saudí está utilizando parte de las mismas instrucciones digitales para investigar objetivos en lugares fuera de Oriente Medio, incluido Norteamérica. Y está creando nuevas variedades del código para afectar un espectro más amplio de los sistemas instrumentados de seguridad.

La alerta roja que descubrió a Triton…

La noticia de la existencia de Triton se reveló en diciembre de 2017, aunque la identidad del propietario de la planta se ha mantenido en secreto. (Gutmanis y otros expertos involucrados en la investigación inicial se niegan a citar a la compañía porque temen que los futuros afectados decidan no compartir su información sobre los ciberataques con los investigadores de seguridad).

En los últimos años, las empresas de ciberseguridad han estado compitiendo para deconstruir este malware y para averiguar quién está detrás. Su investigación muestra que se trata de un preocupante y sofisticado instrumento cibernético creado y utilizado por un determinado y perseverante grupo de hackers cuya identidad aún no se ha aclarado con certeza.

Los atacantes parecen haber estado dentro de la red corporativa informáticade la empresa petroquímica desde 2014. Desde entonces y con el tiempo encontraron un camino hacia la propia red de la planta, probablemente a través de un fallo en el firewall digital mal configurado que se suponía que detenía el acceso no autorizado. Después entraron en una estación de trabajo de ingeniería, o mediante un defecto no corregido en su código de Windows o interceptando las contraseñas de algún empleado.

Como la estación de trabajo se comunicaba con los sistemas instrumentados de seguridad de la fábrica, lograron conocer la marca y el modelo de los controladores de hardware de los sistemas, así como las versiones de su firmware, que es el software integrado en la memoria de un dispositivo y que gestiona la forma en la que se comunica con lo demás.

Es probable que después obtuvieran una máquina Schneider idéntica y la usaran para probar el malware que había desarrollado. Esto les permitió imitar el protocolo, o el conjunto de reglas digitales, que la estación de trabajo de ingeniería utilizaba para comunicarse con los sistemas de seguridad. También encontraron una llamada vulnerabilidad de día cero o un bug (error de software) previamente desconocido, en el firmware del modelo Triconex. Esto les permitió introducir el código en las memorias de los sistemas de seguridad para poder acceder a los controladores cuando quisieran.

Por ello, los intrusos podían ordenar a los sistemas instrumentados de seguridad que se deshabilitaran y luego usar otro malware para crear una situación insegura en la fábrica.

Las consecuencias podían haber sido terribles. El peor desastre industrial del mundo hasta la fecha también implicó una fuga de gases tóxicos. En diciembre de 1984, la fábrica de pesticidas Union Carbide en Bhopal (India) liberó una enorme nube de gases tóxicos, matando a miles de personas y causando graves lesiones a muchas más. El motivo en esa ocasión fue el mal mantenimiento y un error humano. Pero los defectuosos e inoperables sistemas de seguridad en la fábrica significaron que había fallado su última línea de defensa.

… y las alertas rojas en otros países

Había muy pocos casos previos de ciberatacantes que han usado el ciberespacio para intentar alterar el mundo físico. Uno de ellos fue Stuxnet en 2010, que hizo que centenares de centrifugadoras de una central nuclear iraní se descontrolaran y se destruyeran, y CrashOverride, que los hackersrusos utilizaron en 2016 para atacar la red eléctrica de Ucrania. (La tabla inferior ofrece un resumen de estos y otros ciberataques destacables).

Pero ni siquiera los más pesimistas vieron venir un malware como Triton. “Atacar los sistemas de seguridad parecía estar fuera de los límites morales y es algo realmente difícil de hacer técnicamente”, explica el exoficial de guerra de información en la Marina de Estados Unidos, Joe Slowik, que también trabaja en Dragos.

Otros expertos también se sorprendieron cuando vieron las noticias sobre el código asesino. “Incluso con Stuxnet y otros malware, nunca hubo una intención descarada y directa de causar daño a las personas“, afirma el consultor de Accenture y especialista en ciberseguridad industrial Bradford Hegrat.

Casi no cabe duda de que no se trata de una coincidencia que el malware apareciera justo cuando los hackers de los países como Rusia, Irán y Corea del Norte aumentaron sus investigación sobre los sectores de la “infraestructura crítica” que son cruciales para el buen funcionamiento de las economías modernas, como las empresas de petróleo y gas, las de servicios públicos de electricidad, y las redes de transporte.

En un discurso del año pasado, el director de la Inteligencia Nacional de Estados Unidos, Dan Coats, advirtió que estaba creciendo el peligro de un ciberataque contra la infraestructura crítica de Estados Unidos. Hizo un paralelismo con el aumento de la cibercomunicación que las agencias de inteligencia estadounidenses habían detectado entre los grupos terroristas antes del ataque al World Trade Center en 2001. “Casi dos décadas más tarde, estoy aquí para afirmar que las luces de advertencia están parpadeando en rojo de nuevo” declaró Coats. “Hoy en día, la infraestructura digital que sirve a este país está literalmente bajo ataque”.

Al principio, se pensaba que Triton era una creación de Irán, ya que Arabia Saudí era su archienemigo. Pero los ciberatacantes casi nunca son tan directos. En un informe publicado en octubre pasado, FireEye, una empresa de ciberseguridad que fue citada al comienzo de la investigación de Triton, señaló a un culpable distinto: Rusia.

Los responsables de usar Triton habían probado los elementos del código utilizado durante la intrusión para dificultar la detección de los programas antivirus. Los investigadores de FireEye encontraron un archivo digital que habían dejado en la red de la planta petroquímica y luego pudieron rastrear otros archivos desde el mismo banco de pruebas. Estos contenían varios nombres en caracteres cirílicos, así como una dirección IP que se había utilizado para iniciar las operaciones vinculadas al malware.

Esa dirección había sido registrada en el Instituto Central de Investigación Científica de Química y Mecánica en Moscú (Rusia), una organización gubernamental con departamentos que se centran en la infraestructura crítica y en la seguridad industrial. FireEye también afirmó que había encontrado pruebas que apuntaban a la participación de un profesor de ese centro, aunque no nombraba a esa persona. Sin embargo, el informe señaló que FireEye no había encontrado evidencia específica que probara definitivamente que este instituto era el creador de Triton.

Los investigadores aún siguen investigando los orígenes del malware, así que todavía pueden surgir más teorías sobre quién está detrás. Gutmanis, por su parte, está dispuesto a ayudar a las empresas a aprender las importantes lecciones de su experiencia en la fábrica de Arabia Saudí. En una presentación celebrada en enero en la conferencia de seguridad industrial S4X19, describió alguna de ellas. Incluía el hecho de que la víctima del ataque de Triton había ignorado múltiples alarmas antivirus activadas por el malware y que no había podido detectar unos movimientos inusuales en sus redes. Los trabajadores de la fábrica también habían dejado las llaves físicas que controlaban la configuración de los sistemas Triconex en una posición que permitió el acceso remoto al software de las máquinas.

Aunque parece que la empresa saudí tuvo un inadecuado nivel de seguridad, Gutmanis asegura que no. “He estado en muchas fábricas en EE. UU. que no están cerca de estar tan maduras [en su modelo de la ciberseguridad] como esta organización”, explica.

Otros expertos señalan que Triton demuestra a los gobiernos que los atacantes de ahora están dispuestos a perseguir objetivos incluso poco claros y de difícil acceso en las instalaciones industriales. Los sistemas instrumentados de seguridad están diseñados para salvaguardar diferentes tipos de procesos, por lo que la creación de un malware para controlarlos implica una gran cantidad de tiempo y un esfuerzo concienzudo. Por ejemplo, se fabrican docenas de modelos diferentes del controlador Triconex de Schneider Electric y cada uno de ellos podría instalarse con diferentes versiones de firmware.

El hecho de que los hackers hicieran todo lo posible para desarrollar Triton ha sido una llamada de atención para Schneider y otros fabricantes de sistemas instrumentados de seguridad, como Emerson en EE. UU. y Yokogawa en Japón. Schneider ha recibido elogios por compartir públicamente los detalles de cómo su modelo Triconex fue atacado en la fábrica de Arabia Saudí, incluso destacando el error de día cero que luego se ha reparado. Pero durante su presentación en enero, Gutmanis criticó a la empresa por no haberse comunicado lo suficiente con los investigadoresinmediatamente después del ataque.

Schneider respondió que había cooperado plenamente con la compañía cuya planta fue atacada, como también con el Departamento de Seguridad Nacional de EE. UU. y otras agencias involucradas en la investigación sobre Triton. Desde ese acontecimiento, ha contratado a más personas para ayudar a responder a los futuros incidentes, y también ha reforzado la seguridad del firmware y los protocolos utilizados en sus dispositivos.

El ejecutivo de Schneider, Andrew Kling, destaca que una lección importante del descubrimiento de Triton es que las empresas industriales y los fabricantes de maquinaria deben centrarse aún más en las áreas que pueden parecer objetivos poco probables, pero que podrían causar un desastre si acaban afectados. Se refiere a las aplicaciones de software que se usan en raras ocasiones y a los protocolos más antiguos que gestionan la comunicación entre las distintas máquinas. “Uno puede pensar que nadie se va a molestar en entrar en un protocolo complicado que ni siquiera está documentado”, dice Kling, “pero es necesario preguntarse, ¿cuáles serían las consecuencias si lo hacen?”

Aunque parece que la empresa saudí tuvo un inadecuado nivel de seguridad, Gutmanis asegura que no. “He estado en muchas fábricas en EE. UU. que no están cerca de estar tan maduras [en su modelo de la ciberseguridad] como esta organización”, explica.

Otros expertos señalan que Triton demuestra a los gobiernos que los atacantes de ahora están dispuestos a perseguir objetivos incluso poco claros y de difícil acceso en las instalaciones industriales. Los sistemas instrumentados de seguridad están diseñados para salvaguardar diferentes tipos de procesos, por lo que la creación de un malware para controlarlos implica una gran cantidad de tiempo y un esfuerzo concienzudo. Por ejemplo, se fabrican docenas de modelos diferentes del controlador Triconex de Schneider Electric y cada uno de ellos podría instalarse con diferentes versiones de firmware.

El hecho de que los hackers hicieran todo lo posible para desarrollar Triton ha sido una llamada de atención para Schneider y otros fabricantes de sistemas instrumentados de seguridad, como Emerson en EE. UU. y Yokogawa en Japón. Schneider ha recibido elogios por compartir públicamente los detalles de cómo su modelo Triconex fue atacado en la fábrica de Arabia Saudí, incluso destacando el error de día cero que luego se ha reparado. Pero durante su presentación en enero, Gutmanis criticó a la empresa por no haberse comunicado lo suficiente con los investigadoresinmediatamente después del ataque.

Schneider respondió que había cooperado plenamente con la compañía cuya planta fue atacada, como también con el Departamento de Seguridad Nacional de EE. UU. y otras agencias involucradas en la investigación sobre Triton. Desde ese acontecimiento, ha contratado a más personas para ayudar a responder a los futuros incidentes, y también ha reforzado la seguridad del firmware y los protocolos utilizados en sus dispositivos.

El ejecutivo de Schneider, Andrew Kling, destaca que una lección importante del descubrimiento de Triton es que las empresas industriales y los fabricantes de maquinaria deben centrarse aún más en las áreas que pueden parecer objetivos poco probables, pero que podrían causar un desastre si acaban afectados. Se refiere a las aplicaciones de software que se usan en raras ocasiones y a los protocolos más antiguos que gestionan la comunicación entre las distintas máquinas. “Uno puede pensar que nadie se va a molestar en entrar en un protocolo complicado que ni siquiera está documentado”, dice Kling, “pero es necesario preguntarse, ¿cuáles serían las consecuencias si lo hacen?”

¿Vamos hacia un futuro analógico?

Durante la última década aproximadamente, las empresas han estado añadiendo conectividad a internet y sensores a todo tipo de equipos industriales. Los datos recogidos se están utilizando para todo, desde el mantenimiento predictivo (lo que significa utilizar los modelos de aprendizaje automático para saber con tiempo cuándo es necesario el mantenimiento del dispositivo) hasta la perfección de los procesos de producción. También se ha notado un gran impulso para controlar los procesos de forma remota a través de los dispositivos como los teléfonos inteligentes y las tabletas.

Todo esto puede hacer que las empresas sean mucho más eficientes y productivas, y explica por qué se espera que este año gasten alrededor de 37.000 millones de euros en equipos industriales de internet como los sensores inteligentes y los sistemas de control automatizados, según el Grupo ARC, que analiza este mercado. Pero los riesgos también son claros: cuanto más equipo conectado hay, más objetivos para los ataques.

Para mantener lejos a los atacantes, las empresas industriales generalmente confían en una estrategia conocida como la “defensa en profundidad”. Esto significa crear múltiples capas de seguridad, comenzando con firewalls para separar las redes corporativas de internet. Otras capas se hacen para evitar que los hackers, una vez dentro, accedan a las redes de la fábrica y luego a los sistemas del control industrial.

Estas defensas también incluyen las herramientas antivirus para detectar malware y, cada vez más, el software de inteligencia artificial que intenta detectar los comportamientos anómalos en los sistemas de TI. Luego, como el último respaldo, están los sistemas instrumentados de seguridad y las cajas de seguridad físicas. Los sistemas más críticos suelen tener múltiples copias de seguridad físicas para protegerse contra el fallo de cualquier elemento.

La estrategia ha demostrado ser sólida. Pero el aumento de los ciberatacantes de los Estados, con tanto tiempo, dinero y motivación para atacar las infraestructuras críticas, así como el uso cada vez mayor de los sistemas conectados a internet, significa que el pasado puede que no sea una guía fiable para el futuro.

Rusia, concretamente, ha demostrado que está dispuesta a usar software como arma y contra los objetivos físicos en Ucrania, creando así un campo de pruebas para su kit de ciberarmas. Y el uso de Triton en Arabia Saudí muestra que los cibercriminales pasarán años tratando de encontrar formas de romper todas esas capas defensivas.

Afortunadamente, los atacantes de la fábrica saudita fueron interceptados, y ahora sabemos mucho más sobre cómo habían actuado. Pero es un recordatorio aleccionador de que, al igual que otros desarrolladores, los hackers también cometen errores. ¿Qué pasaría si el error que introdujeron inadvertidamente, en vez de provocar un apagón seguro, hubiera inhabilitado los sistemas de seguridad de la fábrica justo cuando un error humano o de otro tipo había causado que uno de los procesos críticos de la fábrica se descontrolara? El resultado pudo haber sido una catástrofe incluso si no hubieran tenido esa intención.

Los expertos de  lugares como el Laboratorio Nacional de Idaho de EE. UU. están instando a las empresas a que revisen todas sus operaciones teniendo en cuenta el caso de Triton y otras ciberamenazas, y que reduzcan o eliminen radicalmente las vías digitales que se podrían utilizar para llegar a los procesos críticos.

A las empresas les pueden molestar los costes de tener que hacerlo, pero Triton es un recordatorio de que los riesgos están aumentando. Gutmanis cree que es casi inevitable tener más ataques con el malware más mortífero del mundo. “Aunque este era el primer caso”, concluye, “me sorprendería si fuera el último”.

MIT