ESET informa sobre una amenaza informática capaz de
controlar sistemas de energía eléctrica de una nación. Industroyer es un
malware capaz de hacer daño significativo a los sistemas de energía eléctrica y
que podría ser reconfigurado para dirigirse a otros tipos de infraestructuras
críticas.
En 2016 hubo un ciberataque a la red eléctrica de
Ucrania, que dejó sin suministro a parte de su capital por una hora. Desde
entonces, investigadores de ESET analizaron muestras de malware capaces de
ejecutar ese mismo tipo de acción.
Industroyer es una amenaza particularmente peligrosa,
dado que es capaz de controlar los interruptores de una subestación eléctrica
directamente. Para hacerlo, utiliza protocolos de comunicación industrial
implementados mundialmente en infraestructuras de suministro de energía
eléctrica, sistemas de control de transporte y otros sistemas de
infraestructura crítica, como agua y gas.
“Este malware es altamente personalizable. Si bien es
universal, ya que puede ser usado para atacar cualquier sistema de control
industrial usando algunos de los protocolos de comunicación de la lista de
objetivos, algunos de los componentes de las muestras analizadas estaban
diseñados para apuntar a un tipo particular de hardware”, asegura Camilo
Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Estos interruptores (o switches) son equivalentes
digitales a los conmutadores analógicos; técnicamente pueden ser diseñados para
realizar varias funciones. Por lo tanto, el impacto potencial puede ir desde
simplemente desactivar la distribución de energía hasta fallas en cascada y
daños al equipo. La gravedad del mismo también puede variar de una subestación
a otra.
La peligrosidad del malware Industroyer radica en el hecho
de que usa los protocolos de la manera en que fueron diseñados para ser usados:
“El problema es que los protocolos se crearon hace décadas, y en ese entonces
la intención era que los sistemas industriales estuvieran aislados del mundo
exterior. Como consecuencia, su comunicación no fue diseñada con la seguridad
en mente. Esto significa que los atacantes no necesitaban buscar
vulnerabilidades en los protocolos; todo lo que necesitaban era enseñarle al
malware a “hablar” esos protocolos”, mencionó Gutierrez Amaya.
El corte de energía más reciente ocurrió el 17 de
diciembre de 2016, casi exactamente un año después del apagón que afectó a
cerca de 250.000 hogares en varias regiones de Ucrania, el 23 de diciembre de
2015. En aquella ocasión, los atacantes se infiltraron en las redes de
distribución eléctrica con el malware BlackEnergy, junto con KillDisk y otros
componentes, y luego abusaron de software legítimo de acceso remoto para
controlar las estaciones de trabajo de los operadores y cortar el suministro.
Industroyer es un malware modular. Su componente central
es un backdoor usado por los atacantes para gestionar el ataque; instala y
controla los otros componentes y se conecta a un servidor remoto para recibir
comandos y reportar a los criminales. “Gracias a la habilidad de persistir en
el sistema y proveer información valiosa para refinar los payloads
personalizables, los atacantes podrían adaptar el malware a cualquier entorno,
lo que lo vuelve extremadamente peligroso. Más allá de si el reciente ataque a la
red eléctrica de Ucrania fue una prueba o no, debería servir como llamado de
atención para los responsables de la seguridad en sistemas críticos de todo el
mundo”, concluyó Gutiérrez Amaya.
Más información
Hay más detalles del análisis técnico de este
malware y los Indicadores de Sistemas Comprometidos (IoC) en el white paper de
ESET (en inglés) y en GitHub. https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf
Fuente: Diarioti.com