Hackers da Coreia do Norte atacam estação nuclear da India via Dtrack malware.

A maior usina nuclear da Índia, a usina nuclear de Kudankulam, sofreu um ataque no início deste ano. Inicialmente, o Projeto de Energia Nuclear de Kudankulam negou o ciberataque ocorrido.

A notícia está a circular no twitter após o investigador Pukhraj Singh notificar o incidente.

Pukhraj Singh said that “Domain controller-level access at Kudankulam Nuclear Power Plant. The government was notified way back. Extremely mission-critical targets were hit.” He also added that he notified the incident to National Cyber Security Coordinator( NCSC) on Sep 4.

 

 

A invasão foi detetada por uma empresa terceirizada de segurança e a empresa logo entrou em contato com Pukhraj Singh, que notificou o incidente à NCSC e as IoCs identificadas.

No dia23 de setembro, a Kaspersky informou sobre um malware de espionagem denominado DTrack, o malware atribuído ao grupo de hackers Lazarus da Coréia do Norte.
Os funcionários da usina nuclear de Kudankulam negaram o ataque, afirmando que algumas informações falsas estavam a ser divulgadas publicamente.
Fontes internas referentes à usina nuclear referiram que a rede da estação não está ligada à Internet, negando dessa forma um possível ataque.
According to the notice from KKNP, on 29/10/2019, states that “This is to clarify Kudankulam Nuclear Power Plant(KNPP) and other Indian Power Plant Control Systems are stand-alone and not connected to outside cyber network and internet. Any cyber-attack on the Nuclear Power Plant Control System is not possible,”
Já referente ao malware, o Dtrack é projetado para espiar as máquinas vítimas, e inclui os seguintes payloads para extrair informações confidenciais das máquinas infectadas.
  • Keylogging
  • Retrieve browser history
  • Gather host IP addresses, information about available networks and active connections,
  • List all running processes,
  • List all files on all available disk volumes.

O malware também inclui módulos adicionais que permitem que um invasor obtenha acesso remoto ao sistema e pode upload/ download ou executar ficheiros.

O malware tem sido atribuído ao grupo de hackers da Coreia do Norte “Lazarus Group”.

 

Congress MP Shashi Tharoor demanded an explanation from the government on Twitter: “This seems very serious. If a hostile power can conduct a cyber attack on our nuclear facilities, the implications for India’s national security are unimaginable. The Government owes us an explanation.”

 

 

A NPCIL divulgou ontem um comunicado confirmando o ataque cibernético e o computador infetado pertence ao usuário que se ligou à Internet para fins administrativos.
The report also confirms that the attack limited within the administrative network and the critical systems are air-gapped that are isolated from the administrative networks.
“Identification of malware in the NPCIL system is correct. The matter was conveyed by CERT-In when it was noticed by them on September 4, 2019.”
Ao se ligarem a rede através desse computador, os hackers poderão usar o computador como pivot para escalar na infraestrutura e aceder a informações totalmente críticas, assim como sistemas internos da usina.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *