Zdroj: Asia Times, ZDNet
Ešte 28.10.2019 oznámil bezpečnostný výskumník @a_tweeter_user na službe Twitter zaujímavú vec, ktorú objavil na službe VirusTotal. Vzorka malvéru ukladala dáta do natvrdo uloženej cesty a meno a heslo administrátora boli tiež v kóde malvéru. Meno účtu bolo KKNPP, čo je skratka pre atómovú elektráreň v Indii. Ľudia začali špekulovať, že indická atómová elektráreň má problém.
Na túto informáciu reagoval aj známy indický bezpečnostný odborník Pukhraj Singh s informáciou, že oficiálne orgány boli informované ešte v septembri. Bolo preto veľmi čudné, že predstavitelia KKNPP najprv popierali nákazu s vyjadrením, že to je „false information“ a útok na elektráreň nie je možný (veríme).
Včera materská spoločnosť elektrárne NPCIL (Nuclear Power Corporation of India Ltd) potvrdila malvérovú nákazu a napadnutie siete. Konkrétne potvrdili napadnutie IT siete, ale OT sieť riadiaca samotnú elektráreň nebola napadnutá. Potvrdili aj informáciu Pukhraja Singha, že majú informáciu od 4.septembra.
Malvér bol firmou Kaspersky identifikovaný ako DTrack trojan používaný skupinou Lazarus Group. Obyčajne sa používa na zorientovanie sa v sieti a na stiahnutie iných malvérov. Nie je známe, prečo sa zamerali na atómovú elektráreň. Historicky skupina Lazarus málokedy útočila na industriálne ciele. Útoky trojanom DTrack boli väčšinou politicky motivované. Minulý mesiac bola zaznamenaná verzia AMTDtrack zameraná na banky.
Odhaduje sa, že tento útok bol skôr omylom. V minulosti sme už na našom blogu písali o tom, ako severekórejskí hackeri financujú vojenské a iné programy Severnej Kórei. Informácia o nákaze v KKNPP sa rozšírila aj kvôli tomu, že v rovnakom čase bol zastavený reaktor v elektrárni KKNPP a toto zastavenie bolo mylne spájané s trojan nákazou.
Obrázok: „04710085“ by IAEA Imagebank, used under CC BY-SA 2.0
