Durante años, los piratas informáticos detrás del malware conocido como Triton o Trisis se han distinguido como una amenaza particularmente peligrosa para la infraestructura crítica: un grupo de intrusos digitales que han intentado sabotear los sistemas de seguridad industrial, con resultados físicos potencialmente catastróficos. Ahora, el Departamento de Justicia de EE. UU. le ha dado un nombre a uno de los piratas informáticos de ese grupo y ha confirmado que los objetivos de los piratas informáticos incluían una empresa estadounidense propietaria de múltiples refinerías de petróleo.
El jueves, pocos días después de que la Casa Blanca advirtiera sobre posibles ataques cibernéticos a la infraestructura crítica de EE. UU. por parte del gobierno ruso en represalia por las nuevas sanciones contra el país, el Departamento de Justicia reveló un par de acusaciones que en conjunto describen una campaña de piratería rusa de años en EE. UU. estructuras energéticas. En una serie de denuncias, presentadas en agosto de 2021, las autoridades designan a tres oficiales de la agencia de inteligencia rusa FSB acusados de ser miembros de un notorio grupo de piratas informáticos conocido como Berserk Bear, Dragonfly 2.0 o Havex, conocido por atacar servicios eléctricos y otras infraestructuras críticas. en todo el mundo, y ampliamente sospechoso de trabajar al servicio del gobierno ruso.
La segunda acusación, presentada en junio de 2021, presenta cargos contra un miembro de un equipo de piratería posiblemente más peligroso: un grupo ruso conocido como el actor Triton o Trisis, Xenotime o Temp.Veles. Ese segundo grupo no solo apuntó a la infraestructura energética en todo el mundo, sino que también dio el raro paso de infligir una interrupción real en la refinería de petróleo saudita Petro Rabigh en 2017, infectando sus redes con malware potencialmente destructivo y, según la acusación por primera vez. tiempo, intentando entrar en una empresa de refinación de petróleo de EE. UU. con lo que parecían ser intenciones similares. Al mismo tiempo, un nuevo aviso de la división informática del FBI advierte que Triton “sigue siendo [a] amenaza” y que el grupo de hackers asociado a ella “sigue realizando actividades dirigidas al sector energético mundial”.
La acusación de Evgeny Viktorovich Gladkikh, miembro del personal del Instituto Central de Química y Mecánica de Investigación Científica (por lo general, abreviado TsNIIKhM) vinculado al Kremlin con sede en Moscú, lo acusa a él y a otros coconspiradores anónimos de desarrollar el malware Triton y de haberlo distribuido. para sabotear el malware de Petro Rabigh, los llamados sistemas instrumentados de seguridad, equipos de sabotaje diseñados para monitorear y responder automáticamente a condiciones inseguras. La piratería de esos sistemas de seguridad podría haber provocado fugas o explosiones desastrosas, pero en cambio desencadenó un mecanismo de seguridad que interrumpió las operaciones de la planta saudita dos veces. Los fiscales también sugieren que Gladkikh y sus asociados aparentemente intentaron infligir una interrupción similar en una compañía de refinación de petróleo estadounidense específica pero desconocida, pero fracasaron.
“Ahora tenemos la confirmación del gobierno”, dice Joe Slowik, un investigador de la firma de seguridad Gigamon que analizó el malware Triton cuando apareció por primera vez y rastreó a los piratas informáticos detrás de él durante años. “Tenemos una entidad que estaba jugando con un sistema de seguridad instrumentado en un entorno de alto riesgo. Y tratar de hacer eso no solo en Arabia Saudita, sino también en los Estados Unidos, es preocupante”.