El 17 de diciembre pasado, la capital ucraniana Kiev sufrió un corte de luz de aproximadamente 75 minutos. Investigadores locales confirmaron que el apagón había sido causado por un ciberataque.
Poco después, investigadores de ESET descubrieron y analizaron un sofisticado nuevo malware, que es el principal sospechoso en este caso. Lo llamaron Industroyer y lo describieron como la mayor amenaza a sistemas de control industrial desde Stuxnet.
Este peligroso malware fue desarrollado para explotar vulnerabilidades en dichos sistemas y los procolos de comunicación que usan, que son sistemas desarrollados hace décadas y sin tener a la seguridad en mente.
A continuación, entrevistamos a Robert Lipovsky, investigador de malware senior de ESET, para saber más sobre esta amenaza.
¿Qué es Industroyer?
Industroyer es una herramienta maliciosa en manos de un atacante muy dedicado, persistente y bien financiado. El malware es capaz de persistir en la red comprometida e interferir directamente con procesos de trabajo críticos en esa facilidad.
¿Cuán peligroso es?
el daño puede ir desde un corte de luz local hasta daños más severos al hardwareEl daño potencial depende de la configuración de cada facilidad en particular y puede variar, por ejemplo, de una subestación eléctrica a otra. Puede ir desde un simple corte de luz local hasta fallas en cascada o daños más severos al hardware.
¿Cómo es esto posible?
El mayor problema es que estos sistemas industriales y los protocolos de comunicación que usan, a los cuales Industroyer está apuntando, son usados a nivel mundial y fueron desarrollados hace décadas, cuando la seguridad no era tenida en cuenta en absoluto.
¿Por qué se compara a Industroyer con Stuxnet?
La banda detrás de Stuxnet definitivamente sabía lo que hacía; estaban apuntando al programa nuclear de Irán. El malware fue capaz de tomar el control de máquinas centrífugas en instalaciones nucleares.
Lo mismo aplica a Industroyer, o a la banda detrás de él. Han demostrado tener un profundo conocimiento de los sistemas de control industrial e implementaron funciones en el malware que son capaces de comunicarse directamente con los interruptores y disyuntores utilizados en las subestaciones de la red eléctrica.
¿Es Industroyer responsable por los cortes de luz en Ucrania?
esto debería ser un llamado de atención a los responsables por la seguridad de infraestructuras críticasEl apagón más grande ocurrió en diciembre de 2015, cuando alrededor de 250.000 hogares en varias regiones del país se quedaron sin energía eléctrica por varias horas. Lo que facilitó que esto ocurriera fue el malware llamado Black Energy.
En diciembre de 2016, casi exactamente un año después, hubo otro apagón. Fue más pequeño en escala, duró solo una hora y afectó a una sola región, pero ocurrió gracias a un malware más avanzado. Ese es Industroyer, el sospechoso en este segundo caso.
¿Quién es responsable por este ataque?
La atribución de este tipo de ataques siempre es complicada y a menudo imposible. Esta vez no hay pistas que apunten en ninguna dirección y por supuesto que no queremos especular.
¿Cuál es la principal conclusión del análisis de Industroyer?
El impacto relativamente bajo del corte de luz más reciente contrasta bastante con el nivel técnico y la sofisticación del malware sospechoso de haber estado detrás. Así que la posible explicación para esto, que es la opinión de muchos investigadores de seguridad, es que fue una prueba a gran escala.
Ya sea cierto o no, la principal conclusión de este análisis debería ser que este es un llamado de atención a todos los responsables por la seguridad de sistemas de control industrial e infraestructuras críticas en todo el mundo.
Lee más sobre Industroyer en el white paper (en inglés), y más en español sobre Black Energy, responsable por los ataques de 2015, aquí en WeLiveSecurity.