Un exanalista de la Organización Marketingdecontenido de Investigación Técnica (NTRO) de India vinculó un informe de malware publicado por VirusTotal con un ataque cibernético en la planta de energía nuclear de Kudankulam en India. Pukhraj Singh informó que el malware, identificado por los investigadores como Dtrack de Corea del Norte, obtuvo “acceso a nivel de controlador de dominio” en Kudankulam. El ataque ha sido informado al gobierno.
Entonces, ahora es público. Acceso a nivel de controlador de dominio en la planta de energía nuclear de Kudankulam. los
El gobierno fue notificado hace mucho tiempo. Se alcanzaron objetivos extremadamente críticos para la misión. https://t.co/rFaTeOsZrw
pic.twitter.com/OMVvMwizSi—
Pukhraj Singh (@RungRage) Octubre
28, 2023
El ataque probablemente no afectó los controles del reactor, pero puede haber tenido como objetivo la investigación y los datos técnicos. Aparentemente, el ataque se centró en la recopilación de información técnica, utilizando un recurso compartido de unidad de red SMB de Windows con credenciales codificadas en el malware para agregar archivos para robar. Los investigadores vincularon a Dtrack con el grupo de amenazas Lazarus de Corea del Norte basándose en un código compartido con DarkSeoul, un ataque de malware que borró los discos duros de las empresas de medios y bancos de Corea del Sur en 2013.
Singh aludió al ataque en un tuit del 7 de septiembre, en el que escribió: “Acabo de presenciar un casus belli en el ciberespacio indio y apesta en todos los niveles”. Dijo que él mismo no descubrió la intrusión, sino que se enteró de ella por “un tercero”. Singh transmitió la información al Coordinador Marketingdecontenido de Seguridad Cibernética de India el 4 de septiembre, y el tercero compartió los indicadores de compromiso “en los días anteriores”. Kaspersky luego identificó el malware involucrado como Dtrack, dijo Singh.
Los funcionarios de Kudankulam han dicho que la planta está a salvo de ataques cibernéticos porque la red de sistemas de control está aislada de las redes administrativas de la planta, pero no han abordado qué datos pueden haber sido robados. En un comunicado de prensa, el superintendente de capacitación y oficial de información del Proyecto de energía nuclear de Kudankulam (KKNPP) dijo que la planta “y otros sistemas de control de plantas de energía nuclear indias son independientes y no están conectados a una red cibernética externa e Internet… Cualquier ataque cibernético en el Sistema de Control de la Central Nuclear no es posible”. El funcionario dijo que ambos reactores de la planta están actualmente en funcionamiento “sin ningún problema operativo o de seguridad”.
El KKNPP es la instalación nuclear más grande de la India y ha sido motivo de controversia desde que comenzó la construcción en 2002. Su activación se retrasó durante casi una década debido a las protestas de los pescadores locales y otros activistas. Una colaboración con Atomstroyexport de Rusia (una subsidiaria de Rosatom, la compañía de tecnología de energía nuclear propiedad del gobierno de Rusia), KKNPP tiene planeado operar seis reactores eventualmente, pero solo dos están activos y la planta ha tenido numerosos problemas de seguridad. Actualmente, la planta carece de una instalación de almacenamiento de combustible nuclear gastado fuera del sitio, lo que provocó una batalla judicial para cerrar las plantas hasta que se construyera una.
Ha habido más de 70 paradas desde que los reactores entraron en funcionamiento en 2013. Y el 19 de octubre, el segundo reactor de la planta se apagó debido a una falla en la generación de vapor del reactor, según funcionarios de KKNPP. El cierre no estuvo relacionado con el ataque de malware, afirmaron los funcionarios.