El 12 de junio de 2017 investigadores de ESET publicaron sus hallazgos sobre un nuevo y particular malware que era capaz de provocar un apagón generalizado. Industroyer, como lo llamaron, fue la primera pieza de malware conocida desarrollada específicamente para atacar a una red eléctrica.
De hecho, Industroyer ya se había desplegado unos meses antes y había tenido un efecto considerable: provocó que el 17 de diciembre de 2016 miles de hogares en partes de Kiev, Ucrania, se quedaran sin suministro eléctrico durante aproximadamente una hora. Esto sucedió después de que el malware atacara una subestación eléctrica local. Unos días después, el investigador de malware de ESET, Anton Cherepanov, comenzaría a desmenuzar Industroyer.
Una bomba de tiempo
Una vez plantado en el sistema, Industroyer se extendió por la red de la subestación buscando dispositivos de control industrial específicos con protocolos de comunicación a través de los cuales poder hablar. Luego, como una bomba de tiempo a punto de estallar, aparentemente abrió todos los disyuntores a la vez, mientras desafiaba cualquier intento de los operadores de la subestación por recuperar el control: si un operador intentaba cerrar un interruptor, el malware lo volvía a abrir.
Para limpiar sus rastros, el malware liberó un wiper, que es un tipo de malware que borra datos, que había sido diseñado para dejar las computadoras de la subestación inoperativas y retrasar el regreso a las operaciones normales. De hecho, el wiper a menudo fallaba, pero si hubiera tenido más éxito, las consecuencias podrían haber sido mucho peores, especialmente en invierno, cuando un corte de energía puede hacer que las tuberías llenas de agua se agrieten cuando se congelan.
El malware realizó un acto malicioso final para desactivar algunos de los relés de protección en la subestación, pero eso también falló. Sin el funcionamiento de los relés de protección, el equipo de la subestación podría haber estado expuesto a un alto riesgo de daño cuando los operadores finalmente restablecieron la transmisión eléctrica.
Como mencionaron en ese momento Cherepanov y su colega investigador de ESET, Robert Lipovsky, la sofisticación de Industroyer hace posible adaptar el malware a cualquier entorno similar. De hecho, los protocolos de comunicación industrial que utiliza Industroyer se implementan no solo en Kiev, sino también "en infraestructura de suministro de energía, sistemas de control de transporte y otros sistemas de infraestructura crítica (como agua y gas) en todo el mundo".
Por otro lado, teniendo en cuenta lo sofisticado que era Industroyer, su impacto en última instancia fue bastante decepcionante, como lo señalaron los propios investigadores de ESET en 2017. Quizás fue solo una prueba para futuros ataques, o quizás fue una señal de lo que era capaz de hacer el grupo detrás de su creación.
El trabajo de Sandworm
El comportamiento del malware, señalaron los investigadores de ESET, reflejan las intenciones maliciosas de quienes lo crearon. En la conferencia Virus Bulletin de 2017, Lipovsky destacó que "los atacantes tenían que comprender la arquitectura de una red eléctrica, qué comandos enviar y cómo se lograría". Sus creadores recorrieron un largo camino para crear este malware, y su objetivo no era solo un corte de energía. “Algunas pistas de la configuración de Industroyer sugieren que querían provocar daños a nivel equipamiento y también mal funcionamiento”.
En Black Hat 2017, Cherepanov también señaló que "parece muy poco probable que alguien pueda escribir y probar dicho malware sin acceso al equipo especializado utilizado en el entorno industrial específico".
En octubre de 2020, Estados Unidos atribuyó el ataque a seis oficiales pertenecientes a Sandworm, nombre que se le dio a la Unidad 74455 de la Dirección General de Inteligencia rusa (GRU).
Industroyer 2: El regreso de Industroyer
Volvemos a 2022 y no sorprende que la telemetría de ESET haya mostrado un aumento en los ataques cibernéticos dirigidos a Ucrania en las semanas previas y posteriores a la invasión de Rusia el 24 de febrero.
El 12 de abril, junto con CERT-UA, los investigadores de ESET anunciaron que habían identificado una nueva variante de Industroyer, a la cual llamaron Industroyer 2, apuntando a un proveedor de energía en Ucrania. Esta nueva variante había sido programada para cortar el suministro de energía en una región de Ucrania el 8 de abril. Afortunadamente, el ataque fue frustrado antes de que pudiera causar más estragos en un país que ya viene siendo afectado por la guerra. Los investigadores de ESET consideran con mucha confianza que Sandworm fue nuevamente el responsable de este nuevo ataque.
Un presagio de lo que vendrá
En los últimos años se ha vuelto más que claro que los servicios de infraestructura crítica del mundo están expuestos al riesgo de interrupciones. La serie de incidentes que han impactado la infraestructura crítica en Ucrania a lo largo del tiempo (y en otras partes del mundo) han ayudado a tomar conciencia sobre los riesgos a los que están expuestos los servicios críticos y la posibilidad de que ataques cibernéticos sean la causa de posibles cortes de energía, interrupciones en el suministro de agua, interrupciones en la distribución de combustible, pérdida de datos médicos y de muchas otras consecuencias que pueden hacer mucho más que interrumpir nuestras rutinas diarias: pueden amenazar la vida.
En 2017, tanto Cherepanov como Lipovsky concluyeron el artículo de la investigación con una advertencia que, cinco años después, sigue vigente: “Independientemente de si el reciente ataque a la red eléctrica ucraniana fue o no una prueba, debería servir como un señal de alarma para los responsables de la seguridad de sistemas críticos alrededor del mundo”.