En 2022 la preocupación por los ciberataques a infraestructuras críticas volvió a ser un tema de preocupación, sobre todo a partir del conflicto entre Rusia y Ucrania y los ataques destructivos que se realizaron. ¿El próximo año será similar? ¿Serán las infraestructuras críticas blancos de más ataques?
La idea de que los gobiernos y los ejércitos utilicen malware como “arma” en contextos de tensión geopolítica fue una incipiente teoría que comenzó a materializarse a partir de 2010 con el crecimiento de los ataques dirigidos utilizando malware, donde probablemente los ataques fueron patrocinados por un Estado nación. Y lamentablemente son varios los ejemplos que podemos encontrar en 2022 en los que se ha utilizado malware como arma de propagación masiva para generar desestabilización, principalmente a partir del conflicto entre Rusia y Ucrania. El conflicto geopolítico entre ambos países dejó en claro el potencial de las amenazas informáticas y provocó que se tome algo más de conciencia sobre los riesgos y el alcance de los ataques a infraestructuras y servicios críticos a nivel global.
Ciberataques a infraestructuras críticas
Cuando hablamos de infraestructuras críticas nos referimos a sistemas, tanto digitales como físicos, que brindan servicios esenciales para la sociedad y que su afectación por un ciberataque puede llegar a provocar un impacto grave sobre la seguridad, economía, política, energía, salud, comunicaciones, transporte, o cualquier otro sector crítico de un país.
Vea también: Hoja de Ruta de Ciberseguridad con 12 proyectos en Chile
El primer hito en torno a los ataques a este tipo de infraestructuras se remonta al 2010 con la aparición de Stuxnet, un malware que explotaba una vulnerabilidad zero-day para la ejecución de código malicioso alojado en un dispositivo USB. Posteriormente se conocieron sus derivados, incluidos Duqu y Flame.
El código de Stuxnet contaba con instrucciones para realizar ataques específicos a sistemas de control industrial SCADA (Supervisory Control And Data Acquisition), los cuales son utilizados en operaciones que van desde el control automático de edificios inteligentes hasta el control de sistemas en plantas de energía nuclear. Se trató de un ataque dirigido y del primer malware descubierto apuntando a sistemas de control industrial. Pero esté fue solo uno de otros tantos que surgieron después.
BlackEnergy
En 2012 se conoció el troyano BlackEnergy, el cual fue utilizado para realizar ataques DDoS, campañas de ciberespionaje y ataques de destrucción de información. BlackEnergy se utilizó en diversas campañas contra organizaciones de todo tipo, incluidas las gubernamentales, diplomáticas, de medios de comunicación, de transporte, pero el ataque más notable fue contra la red eléctrica de Ucrania el 23 de diciembre de 2015. En esa oportunidad alrededor de la mitad de los hogares de una región ucraniana llamada Ivano-Frankivsk se quedaron sin electricidad durante horas. Los ataques utilizando BlackEnergy se intensificaron desde finales de 2013 y principios de 2014.
Dos años después, en 2014, se detectó otro malware diseñado para atacar sistemas industriales de fabricantes de aplicaciones industriales y máquinas en Europa y los Estados Unidos. Se trataba de Havex, un troyano de acceso remoto (RAT) capaz de recolectar datos de sistemas de control industrial. El ataque fue aparentemente un intento de recolectar inteligencia necesaria para ejecutar posteriormente ataques dirigidos a infraestructuras utilizando hardware de los fabricantes seleccionados.
Un malware
En 2016 la red eléctrica de Ucrania se vio afectada por otro ciberataque que dejó durante una hora sin suministro eléctrico a una parte de su capital, Kiev. El malware utilizado en esta oportunidad fue denominado Industroyer. Esta amenaza es capaz de controlar los interruptores de subestaciones eléctricas utilizando protocolos de comunicación industrial implementados en infraestructuras de suministro de energía eléctrica, sistemas de control de transporte y otros sistemas de infraestructura crítica, como agua y gas.
En los años siguientes continuaron evolucionando las herramientas utilizadas para atacar sectores como el energético o financiero y en 2017 llegó NotPetya. Un disruptivo y falso ransomware que mostraba un mensaje de rescate, pero que su verdadera intención no era obtener ganancias económicas, sino interrumpir y generar caos. Y la realidad es que lo logró, ya que paralizó a toda Ucrania: las personas no podían pagar en las terminales de punto de venta de los supermercados o comprar gasolina en las estaciones de servicios, con todo lo que eso implica. Si esto no era suficiente, unas horas después su potencial destructivo comenzó a distribuirse a nivel global. Esto fue posible debido a que NotPetya se propagó como un gusano utilizando el exploit EternalBlue (el mismo que utilizó el ransomware WannaCry), convirtiéndose en una amenaza global.
Ataques a infraestructuras críticas en la actualidad: las consecuencias del conflicto geopolítico entre Rusia y Ucrania
El 24 de febrero de 2022 comenzó la guerra entre Rusia y Ucrania. Sin embargo, el día anterior, apenas unas horas antes de la invasión rusa a tierras ucranianas, se detectó actividad ofensiva en el ámbito digital. ESET y otras compañías de ciberseguridad detectaron en varias organizaciones de alto perfil en Ucrania la actividad de un malware del tipo wiper llamado HermeticWiper. El objetivo principal de este código malicioso era borrar datos de las organizaciones víctimas. Por esta intención es que suele describirse al malware del tipo wiper como “destructivo”.
Cientos de computadoras en Ucrania fueron comprometidas por HermeticWiper pocas horas después de que una ola de ataques de DDoS dejara fuera de servicio varios sitios web de entidades ucranianas. HermeticWiper fue identificado en poco más de cien equipos de al menos cinco organizaciones y el objetivo era hacer que los sistemas queden inoperativos al corromper los datos e impedir el inicio del sistema, de forma que cualquier los servicios públicos afectado sea inaccesibles.
HermeticWiper
A nivel técnico, HermeticWiper sobrescribe el registro de arranque maestro (MBR por sus siglas en inglés), la tabla de archivos maestros, los archivos que contienen las claves de registro y borra varias otras ubicaciones en el disco con bytes aleatorios. También desactiva las copias automáticas para dificultar los esfuerzos de recuperación de los defensores. La marca de tiempo del ejecutable sugiere que se compiló el 28 de diciembre de 2021, por lo que el malware se preparó con varios meses de anticipación.
Unas semanas después, el 14 de marzo, la telemetría de ESET identificó la propagación de un tercer wiper (en apenas tres semanas) denominado CaddyWiper en alrededor de una docena de sistemas en un número limitado de organizaciones en el sector financiero ucraniano. Un análisis posterior del malware sugiere que CaddyWiper se compiló el mismo día que se implementó en las redes a las que atacó.
CaddyWiper
La propagación de CaddyWiper se implementó a través de políticas de grupo, lo que se sugiere que los atacantes tenían control previo de las redes a las que apuntaba, algo que normalmente ocurre en los ataques dirigidos. Técnicamente, este wiper abusa de los controladores del software de partición de disco legítimos.
El 8 de abril, el CERT de Ucrania (CERT-UA) dio respuesta a un incidente cibernético que afectó a un proveedor de energía que fue atacado con una pieza de malware. El análisis del programa malicioso reveló que la amenaza se trataba de una nueva versión de Industroyer, apodada Industroyer 2, ya que comparte similitudes de código con la primera versión. Recordemos que, como mencionamos anteriormente, Industroyer fue el malware que provocó un apagón en 2016 en la capital de Ucrania tras un ataque a una red eléctrica.
Industroyer2
En el ataque de abril de 2022, Industroyer2 intentó desplegar adicionalmente otros wipers para amplificar el impacto de la interrupción y a su vez eliminar sus rastros para dificultar la investigación del incidente.
Retomando el tema del uso de malware por parte de actores de amenazas para fines disruptivos, es importante destacar el rol de algunos grupos de actores de amenazas como Sandworm, el cual ha sido vinculado a Rusia, y que tiene un largo historial de ataques a infraestructuras críticas —sobre todo de Ucrania— y se le adjudican los ataques de BlackEnergy, Telebots, NotPetya, Industroyer, e incluso los que en el último año afectaron apuntaron a ucrania, como Industroyer 2, CaddyWiper, o RansomBoggs, entre otros.
Más en We Live Security
