Ранее на этой неделе в социальных сетях появились слухи о том, что на атомной электростанции Куданкулам в Индии было обнаружено вредоносное ПО. Теперь представители Индийской корпорации по атомной энергии (Nuclear Power Corporation of India Ltd, NPCIL) официально подтвердили эту информацию.
Все началось с того, что индийский ИБ-исследователь Пухрадж Сингх (Pukhraj Singh) написал в Twitter о том, что еще несколько месяцев назад он сообщил индийским властям о малвари Dtrack, которая успешно проникла на «чрезвычайно важные объекты» АЭС Куданкулам. По его словам, вредоносу удалось получить доступ на уровне контроллера домена на ядерном объекте.
Твит исследователя привлек большое внимание, так как несколько дней назад на той же АЭС произошла неожиданная остановка одного из реакторов, и многие решили, что виной всему была кибератака.
Изначально администрация АЭС отрицала, что Куданкулам подверглась какому-либо заражению, выпустив заявление, в котором твиты Сингха были названы «ложной информацией», а кибератака «невозможной».
Но теперь Индийская корпорация по атомной энергии сообщила, что заявления представителей АЭС не совсем соответствовали истине и кибератака все же имела место. Официальная версия NPCIL гласит, что малварь проникла в административную сеть АЭС, заразив один компьютер, но не достигла критически важной внутренней сети АЭС, которая используется для управления ядерными реакторами.
Более того, в NPCIL подтвердили опубликованную Сингхом информацию, сообщив, что еще в начале сентября действительно получили уведомление от индийского CERT, когда вредоносное ПО только было обнаружено.
Напомню, что исследователи связывают малварь Dtrack с небезызвестной северокорейской хак-группой Lazarus. Так, детальный отчет о работе Dtrack в сентябре текущего года опубликовали специалисты «Лаборатории Касперского». Они писали, что Dtrack обычно используется в разведывательных целях и в качестве дроппера для других вредоносных программ, а также ATMDtrack был нацелен на индийские финансовые учреждения. Неполный список возможностей обнаруженных исполняемых файлов полезной нагрузки Dtrack включал в себя:
- клавиатурного шпиона;
- получение истории браузера;
- сбор IP-адресов хостов, информации о доступных сетях и активных соединениях;
- список всех запущенных процессов;
- список всех файлов на всех доступных дисках.
Кроме того, дропперы содержали средства удаленного администрирования ПК (Remote Administration Tool, RAT). Исполняемый файл RAT позволяет злоумышленникам выполнять различные операции на хосте, такие как загрузка, скачивание, запуск файлов и так далее.
Интересно, что образец вредоносного ПО, на который обратил внимание Сингх, включал жестко закодированные учетные данные для внутренней сети АЭС Куданкулам. Это позволяет предположить, что малварь специально создавалась для распространения и работы внутри сети электростанции. Однако до сих пор остается не ясным (официальные лица никак это не комментируют), была ли эта атака направленной, или АЭС оказалась инфицирована случайно, что тоже вполне вероятно, учитывая недавнюю активность Dtrack в Индии, о чем предупреждала «Лаборатория Касперского».