No início desta semana, em mídias sociais chegaram rumores na usina nuclear Kudankulam na Índia foi detectado um malware. Norte vírus coreano atacou usina nuclear. Agora representantes do indiano Atomic Energy Corporation (Nuclear Power Corporation of India Ltd, NPCIL) ter confirmou oficialmente Essa informação.
Tudo começou com o fato de que o índio pesquisador de segurança da informação Pukhraj Singh escreveu no Twitter que há alguns meses ele informou as autoridades indianas sobre o malware Dtrack, que penetrou com sucesso a “locais extremamente importantes” da usina nuclear de Kudankulam. De acordo com ele, o malware conseguiu ter acesso ao nível de um controlador de domínio em uma instalação nuclear.
"Assim, é público agora. Domínio de acesso de nível de controlador de Kudankulam Usina Nuclear. O governo foi notificado caminho de volta. Extremamente alvos de missão crítica foram atingidos”, - escreve Pukhraj Singh.
Tweet do pesquisador atraiu muita atenção, porque há vários dias na mesma usina nuclear um dos reatores parado inesperadamente, e muitos decidiram que o ataque foi a culpa.
Inicialmente, a administração NPP negou que Kudankulam tinham sido infectados de qualquer forma através da emissão de uma declaração na qual os tweets de Singh foram chamados “informação falsa” e o ciberataque foi “impossível.”
Mas agora, o Indiano Atomic Energy Corporation relatou que as declarações de representantes de energia nuclear não chegou a corresponder à verdade, e ocorreu um ciberataque. A versão oficial dos NPCIL diz que o malware penetrou na rede administrativa da usina nuclear, infectar um computador, mas não alcançou a rede interna crítica da usina nuclear, o qual é usado para controlar reactores nucleares.
Além disso, NPCIL confirmou as informações publicadas pela Singh, dizendo que eles receberam no início de setembro realmente uma notificação do CERT indiana, quando malwares foi apenas detectada.
Lembre-se que os pesquisadores associam o malwares Dtrack com o grupo corte norte-coreano notório Lázaro. Dtrack é comumente usado para propósitos de inteligência e como um conta-gotas para outros tipos de malware, e ATMDtrack visava instituições financeiras indianas.
Uma lista incompleta de características dos executáveis de carga útil Dtrack detectados incluído:
- keylogger;
- ficando histórico do navegador;
- coleção de endereços IP de host, informações sobre as redes disponíveis e conexões ativas;
- lista de todos os processos em execução;
- lista de todos os arquivos em todas as unidades disponíveis.
além do que, além do mais, droppers continha ferramentas para administração remota do PC (Ferramenta de administração remota, RATO). O arquivo executável RAT permite que atacantes para executar várias operações no host, como o download, download, o lançamento de arquivos, e assim por diante.
Leia também: Anteriormente grupo governamental desconhecido Avivore atacou airbus
Curiosamente, a amostra de malware que Singh chamou a atenção para incluídos credenciais hard-coded para a rede interna Kudankulam NPP. Isto sugere que o Ficheiro especialmente criado para distribuição e trabalho no interior da rede central.
Contudo, ele ainda permanece incerto (funcionários não têm comentado sobre isso em tudo) se este ataque foi alvo ou se a usina nuclear foi acidentalmente infectado, que também é provável, dada a atividade recente Dtrack na Índia.
