Una ciber arma de elite gubernamental ha estado en línea a la vista del público para que cualquiera lo copie desde el 22 de diciembre, debido a que la compañía multinacional de tecnología de energía Schneider Electric erróneamente envió un archivo sensible a VirusTotal, dijeron tres fuentes familiarizadas con el asunto a CyberScoop.

Schneider Electric obtuvo el archivo en cuestión, titulado "Library.zip", después de reunir pruebas durante una investigación de violación de datos en el Medio Oriente que se centró en un incidente en una refinería de petróleo y gas. Library.zip tiene el framework de un malware peligroso conocido como "Trisis" o "Triton", según una investigación realizada por las compañías de ciberseguridad estadounidenses Dragos Inc. y FireEye.

La carga a VirusTotal, un repositorio de malware público, proporcionó la pieza del rompecabezas restante necesaria para que alguien pueda reconstruir Trisis de los artefactos disponibles públicamente. Después de ser publicado en VirusTotal, Library.zip proliferó: fue recogido y relanzado en varias plataformas, incluyendo GitHub y VirusTotal.

Los expertos dicen que el malware único fue cuidadosamente diseñado para manipular los controladores de seguridad producidos por Schneider Electric que administran esencialmente equipos industriales en plantas de energía nuclear, instalaciones de producción de petróleo y gas y fábricas de papel. Es solo la quinta variante de malware conocida capaz de forzar el daño físico al hacerse cargo de los sistemas de control industrial (ICS). Trisis podría ser utilizado por ciberatacantes para forzar el mal funcionamiento de un sistema instrumentado de seguridad (SIS) de Schneider Electric, lo que provocaría que la maquinaria se averíe o incluso explote.

Según analistas de FireEye, Symantec y Dragos, es probable que Trisis sea el trabajo de un Estado-Nación.

“Siguiendo el protocolo de la compañía, un empleado de Schneider Electric publicó un archivo en VirusTotal con el interés de permitir a los miembros de su proveedor de seguridad analizar y responder al nuevo malware. Poco después, Schneider Electric recibió una solicitud de un tercero para que retirara el archivo y cumplió de inmediato con esa solicitud ", dijo un portavoz de Schneider Electric a CyberScoop.

La unidad de investigación forense e interna digital de FireEye, llamada Mandiant, fue originalmente llamada por la compañía de víctimas del Medio Oriente en septiembre de 2017 para responder a la infección inicial por Trisis. CyberScoop informó el martes que una instalación saudita de petróleo y gas, propiedad en parte de la compañía petrolera estatal Saudi Aramco, fue el "paciente cero" de Trisis.

Mientras que la carga de Schneider Electric de Library.zip se eliminó de VirusTotal en menos de 24 horas, varios investigadores y observadores copiaron rápidamente el código. CyberScoop identificó las cuentas de GitHub que actualmente alojan el archivo.

Las fuentes dicen que Library.zip es inofensivo por sí solo, pero cuando se combina con otro archivo ya disponible públicamente encontrado en la escena del ataque, titulado "Trilog.exe", permite a cualquiera recrear el virus Trisis.

Alguien probablemente relacionado con la investigación en la compañía de la víctima cargó el archivo Trilog.exe en VirusTotal el 29 de agosto; meses antes de que Trisis fuera revelada públicamente por primera vez.

FireEye eligió no compartir el archivo Library.zip o el archivo Trilog.exe porque entendía los peligros asociados con la difusión de ambas piezas en línea. Sin embargo, lanzaron una regla de YARA que facilitó saber cuándo y si Trilog.exe y Library.zip se cargaron en VirusTotal. Por lo general, los profesionales de ciberseguridad utilizarán las reglas de YARA para buscar ciertos archivos maliciosos dentro de un entorno digital específico.

Dragos, que también obtuvo muestras tempranas de Trisis pero a través de un intermediario, fue restringido de manera similar en la publicación de pruebas. Dragos eligió no compartir el archivo Library.zip por temor a los daños que podría causar.

Los investigadores de seguridad constantemente publican y diseminan malware a través de Internet para continuar el análisis y la investigación. Sin embargo, las fuentes le dicen a CyberScoop que el descubrimiento en VirusTotal fue alarmante debido a lo que un ciberatacante podría lograr con Trisis. Además, hubo un esfuerzo interno concentrado para mantener Library.zip en privado.

Tres fuentes familiarizadas con la investigación de Trisis le dijeron a CyberScoop que la publicación de Library.zip por Schneider Electric -después de que Trilog.exe ya había sido publicitado- efectivamente "bajó la barrera" para que los grupos avanzados de ataque puedan crear su propio malware destructivo y adaptado a ICS.

"Causó un pánico total", dijo una fuente. "Fue increíblemente estúpido para [Schneider Electric] hacerlo".

Las fuentes, sin embargo, aclararon que no sería fácil para cualquier ciberatacante tener Trisis y luego utilizarlo en todo su potencial.

Todavía queda mucho trabajo por hacer para convertir a Trisis en un ciberataque procesable, que incluye pero no se limita a escribir un nuevo código de shell que causa alguna acción en los sistemas de seguridad.

En otras palabras, el framework de malware de Trisis es solo uno de los componentes de lo que  se necesitaría para ser una intrusión de múltiples pasos altamente sofisticada que primero comprometa el equipo de control industrial antes de plantar Trisis de forma encubierta.

Artículos relacionados:

• Conpot: Honeypot de Sistemas de Control Industrial
• Sistemas SCADA, consideraciones de seguridad
• Descubren fallas en aplicaciones de Sistemas de Control Industrial para móviles