Venäläisvalmisteisen voimalan energiantuotanto ajettiin alas jo 19. lokakuuta. Huhut haittaohjelmatartunnasta alkoivat liikkua viime viikolla, mutta voimalasta ne aluksi kiistettiin. ZDnet kirjoittaa, että voimayhtiö NPCIL (Nuclear Power Corporation of India Ltd) vahvisti sitten kuitenkin tiedot tosiksi.

NPCIL vakuuttaa, että haittaohjelma ei päässyt voimalan kriittisimpiin järjestelmiin, joilla valvotaan reaktoreiden toimintaa. Se on yhtiön mukaan saastuttanut vain hallinnollista verkkoa, joka on erillään noista kriittisistä järjestelmistä. Voimalan tuotannon keskeyttäminen kuitenkin viittaa siihen, että mistään pikkuharmista ei ole kyse.

Ensimmäisissä kommenteissa tiedot hyökkäyksestä kiistettiin jyrkästi toteamalla, ettei tällainen ole kerta kaikkiaan mahdollista.

Haittaohjelman tutkiminen paljasti, että sen lähde näyttäisi olevan pahamainen pohjoiskorealainen Lazarus-ryhmä. Asiassa on kysymyksiä herättäviä piirteitä.

Haittaohjelman sanotaan olevan muokattu siten, että se purisi juuri ydinvoimalan tietoverkkoon ja leviäisi siellä. Toisaalta Lazarus ei tähän asti ole juurikaan kiinnostunut sabotaaseista. Se on erikoistunut erilaisiin taloudelliseen hyötyyn tähtääviin hankkeisiin, kuten kybervarkauksiin, tietomurtoihin ja kiristyshaittaohjelmiin. Myös erilaiset vakoilutoimet ovat Lazaruksen työlistalla.

Haittaohjelmanäytettä tutkineen Kasperskyn asiantuntijat tunnistivat kyseessä olevan Dtrack-nimellä tunnettu troijalainen, jota yleensä käytetään urkintatarkoituksiin ja myös muiden haittaohjelmien astinlautana.

Dtrack muun muassa seuraa näppäimistön käyttöä ja kerää tietoa verkosta, selainhistoriasta, käynnissä olevista prosesseista sekä tallennetuista tiedostoista.

Kaspersky arvelee, että ydinvoimalan järjestelmät on saastutettu pikemminkin vahingossa kuin osana suunniteltua operaatiota. Sekä Dtrackia että sen AMDtrack-versiota on viime aikoina havaittu kolkuttelemassa Intian finanssilaitosten porteilla.

Lähde: Tivi