Tidligere denne uken, på sosiale medier kommet rykter ved Kudankulam kjernekraftverk i India ble påvist en skadelig. Nordkoreanske virus angrep kjernekraftverk. Nå representanter for den indiske Atomic Energy Corporation (Nuclear Power Corporation of India Ltd, NPCIL) ha offisielt bekreftet denne informasjonen.
Alt startet med at den indiske informasjonssikkerhet forsker Pukhraj Singh skrev på Twitter at noen få måneder siden informerte han indiske myndigheter om Dtrack malware, som vellykket penetrert “ekstremt viktige områder” av den Kudankulam kjernekraftverk. I følge han, den skadelige klart å få tilgang på nivå med en domenekontroller ved et kjernekraftanlegg.
"Så, det er offentlig nå. Domenekontroller-nivå tilgang til Kudankulam kjernekraftverk. Regjeringen ble varslet vei tilbake. Ekstremt virksomhetskritiske mål ble truffet”, - skriver Pukhraj Singh.
Forskerens tweet tiltrakk seg mye oppmerksomhet, fordi flere dager siden, på samme kjernekraftverk en av reaktorene uventet stoppet, og mange besluttet at angrepet var å klandre.
I utgangspunktet, NPP administrasjon benektet at Kudankulam hadde blitt smittet på noen måte ved å utstede en erklæring der Singh tweets ble kalt “falsk informasjon” og cyberangrep var “umulig.”
Men nå, De Indian Atomic Energy Corporation har rapportert at uttalelser fra atomkraft representanter ikke helt svarer til sannheten, og en cyberattack skjedde. Den offisielle versjonen av NPCIL sier at malware trengt det administrative nettverket av kjernekraftverket, infisere en datamaskin, men nådde ikke den kritiske interne nettverket av kjernekraftverket, som brukes til å styre kjernereaktorer.
Dess, NPCIL bekreftet opplysningene utgitt av Singh, sier at i begynnelsen av september de virkelig fikk en melding fra den indiske CERT, da skadelig ble bare detektert.
Husk at forskere knytte Dtrack malware med den beryktede nordkoreanske hack gruppe Lazarus. Dtrack er ofte brukt for etterretningsformål og som en dropper for annen malware, og ATMDtrack var rettet mot indiske finansinstitusjoner.
En ufullstendig liste over funksjoner av de detekterte Dtrack nyttelast kjør inkludert:
- keylogger;
- får nettleserens historikk;
- samling av verts IP-adresser, informasjon om tilgjengelige nettverk og aktive forbindelser;
- liste over alle prosesser som kjører;
- liste over alle filer på alle tilgjengelige stasjoner.
I tillegg, dropinneholdt verktøy for fjernadministrasjon av PC (Remote Administration Tool, ROTTE). Den RAT kjørbare filen gjør at hackere til å utføre ulike operasjoner på verten, slik som nedlasting, nedlasting, lansere filer, og så videre.
Les også: Tidligere ukjent statlig gruppe Avivore angrepet airbus
Interessant, malware prøve som Singh trakk oppmerksomhet til inkluderte hardkodede legitimasjon for Kudankulam NPP interne nettverket. Dette tyder på at skadelig ble laget spesielt for fordeling og arbeid inne i kraftverket nettet.
derimot, det er fremdeles uklart (tjenestemenn har ikke kommentert dette i det hele tatt) om dette angrepet var målrettet eller hvis kjernekraftverket var et uhell infisert, som også er sannsynlig gitt den siste Dtrack aktivitet i India.
