Dragos: A pesar del uso de IA, el nuevo malware dirigido a plantas acuáticas es una «exageración»
admin Latest
Dragos: A pesar del uso de IA, el nuevo malware dirigido a plantas acuáticas es una «exageración»

Algún día la IA podrá ser capaz de crear malware que amenace la infraestructura crítica.

Pero ese día no fue a principios de este mes, cuando surgieron informes de una nueva pieza de malware aparentemente configurada para buscar y sabotear la infraestructura hídrica israelí, según la firma de ciberseguridad industrial Dragos.

El malware, llamado ZionSiphon, fue identificado por primera vez por la firma de ciberseguridad de IA Darktrace, que dijo que fue diseñado para apuntar a entornos de sistemas de control industrial y tecnología operativa. El código escanea Internet en busca de direcciones IP vinculadas a plantas de tratamiento y desalinización de agua de propiedad u operadas en Israel, con el objetivo de comprometerlas para sabotear los niveles de cloro y envenenar los suministros de agua.

Las cadenas en el código binario del malware incluían los nombres de diferentes componentes del sector del agua israelí, así como mensajes de temática política, como «En apoyo a nuestros hermanos en Irán, Palestina y Yemen contra la agresión sionista».

Pero un analista técnico principal de malware en Dragos, Jimmy Wyles, llamado el malware no es más que “exageración”, afirmando que no representa ninguna amenaza para las plantas de agua en Israel o en cualquier otro lugar.

Por ejemplo, quienquiera que haya escrito el malware parece tener poco conocimiento de cómo funciona la tecnología operativa en las plantas de agua israelíes.

«El código no funciona y muestra poco o ningún conocimiento sobre la desalinización de presas o los protocolos ICS», escribió Wylie.

Los desarrolladores también parecieron utilizar IA para generar porciones importantes del código, lo que provocó alucinaciones y errores. Todos los nombres de procesos basados ​​en Windows y rutas de directorio diseñados para confirmar que un objetivo estaba relacionado con la desalinización de agua estaban llenos de «conjeturas ficticias y probablemente generadas por LLM». Los archivos de configuración supuestamente diseñados para manipular los niveles de cloro también eran falsos y probablemente se crearon utilizando IA.

El análisis de Darktrace señala que la muestra de malware que probaron parece ser disfuncional, citando una configuración incorrecta en las funciones de orientación por país del código.

Pero Wylie escribió que el malware habría sido inofensivo para las plantas de tratamiento de agua incluso si estuviera configurado correctamente, porque el resto del código estaba tan plagado de “errores lógicos y suposiciones no válidas” que habría sido inoperable.

Se encontraron problemas de madurez y lógica similares en las capacidades de autodestrucción e infección USB del malware. Wylie dijo que Dragos estaba reteniendo análisis técnicos adicionales de las fallas que afectan a ZionSiphon porque «no están en el negocio de reparar malware para los adversarios».

El episodio destaca una disputa en curso sobre cuánta atención deberían prestar los defensores, en particular aquellos que trabajan con tecnología operativa, a amenazas más novedosas como la piratería informática habilitada por IA, frente a tácticas, técnicas y procedimientos más establecidos que se han aplicado con éxito. manejado por grupos de hackers extranjeros.

La tecnología operativa (los sistemas que controlan o manipulan la maquinaria utilizada en instalaciones de agua, plantas de energía eléctrica y otros sectores industriales) difiere sustancialmente de los entornos de tecnología de la información. Esto presenta desafíos tanto para los defensores de la ciberseguridad como para los piratas informáticos maliciosos que a menudo carecen del conocimiento o las habilidades específicas de la industria para diseñar exploits efectivos.

A saber, Dragos afirma que existen públicamente menos de 10 muestras de malware capaces de amenazar los sistemas de control industrial. ZionSiphon no es uno de ellos.

Wylie criticó la forma en que las empresas de inteligencia de amenazas y los medios de comunicación enmarcaron inicialmente el peligro planteado por el malware, diciendo que era exagerado y probablemente desvió los recursos de ciberseguridad del sector hídrico de amenazas más tangibles, como Volt Typhoon, el grupo de piratería respaldado por China que, según funcionarios de inteligencia estadounidenses, se ha infiltrado profundamente en la infraestructura crítica estadounidense.

«Los responsables de proteger las instalaciones de tratamiento de agua y otras infraestructuras críticas tienen un tiempo y una atención limitados», escribió Wylie. “Gastar en ZionSiphon significa gastar menos en grupos de amenazas como [Volt Typhoon]que tienen un historial demostrado de intrusiones en esos entornos y son una preocupación mucho más apremiante”.

Derek B. Johnson

Escrito por Derek B. Johnson

Derek B. Johnson es reportero de CyberScoop, donde su área incluye la ciberseguridad, las elecciones y el gobierno federal. Antes de eso, ha brindado una cobertura galardonada de noticias sobre ciberseguridad en los sectores público y privado para varias publicaciones desde 2017. Derek tiene una licenciatura en periodismo impreso de la Universidad de Hofstra en Nueva York y una maestría en políticas públicas de la Universidad George Mason en Virginia.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *