Durante años, los piratas informáticos detrás del malware conocido como Triton o Trisis se han destacado como una amenaza excepcionalmente peligrosa para la infraestructura crítica: un grupo de intrusos digitales que intentaron sabotear los sistemas de seguridad industrial, con resultados físicos potencialmente catastróficos. Ahora, el Departamento de Justicia de EE. UU. ha puesto un nombre a uno de los piratas informáticos de ese grupo y ha confirmado que los objetivos de los piratas informáticos incluían una empresa estadounidense propietaria de varias refinerías de petróleo.
El jueves, pocos días después de que la Casa Blanca advirtiera sobre posibles ataques cibernéticos a la infraestructura crítica de EE. Instalaciones energéticas de EE. En un conjunto de cargos, presentado en agosto de 2021, las autoridades nombran a tres oficiales de la agencia de inteligencia FSB de Rusia acusados de ser miembros de un notorio grupo de hackers conocido como Berserk Bear, Dragonfly 2.0 o Havexconocido por apuntar a servicios eléctricos y otras infraestructuras críticas en todo el mundo, y ampliamente sospechoso de trabajar al servicio del gobierno ruso.
La segunda acusación, presentada en junio de 2021, presenta cargos contra un miembro de un equipo de piratas informáticos posiblemente más peligroso: un grupo ruso conocido como el actor Triton o Trisis, Xenotime o Temp.Veles. Ese segundo grupo no solo apuntó a la infraestructura energética en todo el mundo, sino que también dio el raro paso de infligir una interrupción real en el Refinería de petróleo saudita Petro Rabigh en 2017, infectando sus redes con malware potencialmente destructivo y, según la acusación formal por primera vez, intentando entrar en una empresa de refinación de petróleo de EE. UU. con lo que parecían ser intenciones similares. Al mismo tiempo, un nuevo aviso de la división cibernética del FBI advierte que Triton “sigue siendo [a] amenaza”, y que el grupo de piratas informáticos asociado con él “continúa realizando actividades dirigidas al sector energético mundial”.
FBI
La acusación de Evgeny Viktorovich Gladkikh, un miembro del personal del Instituto Central de Investigación Científica de Química y Mecánica (por lo general, abreviado como TsNIIKhM) vinculado al Kremlin con sede en Moscú, lo acusa a él y a otros coconspiradores anónimos de desarrollar el malware Triton y desplegarlo para sabotear el sitio web de Petro Rabigh. los llamados sistemas instrumentados de seguridad, equipos de sabotaje destinados a monitorear automáticamente y responder a condiciones inseguras. La piratería de esos sistemas de seguridad podría haber provocado fugas o explosiones desastrosas, pero en cambio desencadenó un mecanismo a prueba de fallas que cerró dos veces las operaciones de la planta saudita. Los fiscales también sugieren que Gladkikh y sus colaboradores parecen haber intentado infligir una interrupción similar en una empresa de refinación de petróleo estadounidense específica pero no identificada, pero fracasaron.
“Ahora tenemos la confirmación del gobierno”, dice Joe Slowik, investigador de la firma de seguridad Gigamon, que analizó el malware Triton cuando apareció por primera vez y ha rastreado a los piratas informáticos que lo respaldan durante años. “Tenemos una entidad que estaba jugando con un sistema instrumentado de seguridad en un entorno de alto riesgo. Y tratar de hacer eso no solo en Arabia Saudita, sino también en los Estados Unidos, es preocupante”.