BlackEnergy y el corte energético de Ucrania: ¿qué sabemos realmente?

Se plantearon muchas especulaciones y algunas malas interpretaciones con respecto al reciente descubrimiento de malware en las empresas de distribución de energía eléctrica en Ucrania. Los investigadores de ESET publicaron un análisis detallado del malware y sus funcionalidades peligrosas, probablemente relacionadas con el reciente apagón energético masivo experimentado por cientos de miles de ciudadanos ucranianos.

“Al analizar el malware, descubrimos información sobre una operación contra la industria energética ucraniana, pero lo que sabemos es tan solo una pequeña pieza del rompecabezas. Hay muchas preguntas que todavía no tienen respuesta”, comentó Robert Lipovsky, Investigador Senior de Malware de ESET.

A continuación, una completa entrevista con Robert Lipovsky aclarando todo sobre la nueva campaña de BlackEnergy.

Algunos medios de comunicación informaron sobre este caso dando por hecho que el malware fue el único responsable del corte energético. ¿Estás de acuerdo?

El troyano BlackEnergy, un backdoor SSH y el componente destructivo KillDisk fueron detectados en empresas de distribución de electricidad en Ucrania

Por desgracia, las cosas no son lo suficientemente claras como para llegar a una conclusión tan simple. Pero es cierto que el troyano BlackEnergy, junto con un backdoor SSH y el componente destructivo KillDisk, fueron detectados en varias empresas de distribución de electricidad en Ucrania. Conforman un conjunto peligroso de herramientas maliciosas teóricamente capaces de permitirles a los atacantes obtener acceso remoto a la red de una empresa, cerrar los sistemas críticos y, como borran datos, dificultar mucho que se puedan poner en marcha otra vez.

Pero otro aspecto importante de este caso es que el ataque contra la industria energética de Ucrania podría darnos una idea de cómo van a ser los ataques complejos en el futuro. La energía es el talón de Aquiles de toda organización, desde las fábricas hasta los estados. Por lo tanto, un apagón importante es el sueño de cualquier enemigo.

Tal vez fuimos testigos de alguien que trataba de hacer su sueño realidad

Nuestra atención se centra principalmente en la seguridad de Internet, pero para generar un apagón, el atacante debe tomar el control de un sistema industrial.

Por un lado, se trata de mundos diferentes. Pero por el otro, es común que el software especialmente diseñado para programar y controlar hardware industrial se utilice en PC con sistemas operativos comunes, como Windows o Linux. Por lo tanto, es posible atacarlos usando un malware similar al que afecta a los usuarios habituales de Internet (o incluso el mismo). Y, por supuesto, se pueden utilizar todos los vectores comunes de ataque, incluyendo el error humano y la Ingeniería Social.

Parecería que es peligroso conectar sistemas industriales a Internet. ¿Por qué lo hacen?

Sí, esta interconexión presenta graves riesgos. Las primeras razones que vienen a la mente son la practicidad y el ahorro de costos.

Sin entrar en detalles, esta interconexión expone el sistema de control industrial a las mismas amenazas que enfrentan las PC comunes, pero con muchas menos opciones de defensa. Por ejemplo, tomemos el caso de los parches: la aplicación adecuada de actualizaciones de software es mucho más problemática en los sistemas industriales. Estos sistemas tienden a ser muy personalizados y a menudo están encendidos permanentemente.

Para volver al caso de Ucrania, lo que se encontró dentro del entorno de TI de las empresas energéticas (el troyano BlackEnergy) es un backdoor. Y lo que es más, descubrimos que se había mejorado con otro componente: un backdoor de servidor SSH. Esta es la respuesta a la pregunta más común que nos hacemos al respecto: ¿cuáles eran exactamente los motivos para instalar el malware BlackEnergy dentro de las redes de las empresas energéticas?

Todos sabemos que la atribución de la delincuencia cibernética es muy difícil. ¿Cuál es tu opinión?

Es algo muy complicado.

En septiembre de 2014, anunciamos que se estaba utilizando BlackEnergy en ataques a una serie de objetivos de alto valor en Ucrania y otros países. Unas semanas más tarde, otras empresas de seguridad comenzaron a referirse a estos ataques y al grupo sospechoso tras ellos con el nombre de “Sandworm”.

Aunque el malware BlackEnergy puede tener orígenes rusos y se suele asociar (supuestamente) con una banda rusa de ciberdelincuentes, en realidad no existen pruebas definitivas para asegurarlo. Esta familia de malware experimentó una importante evolución a lo largo de su vida útil: el código fuente de su primera versión incluso se filtró en Internet y hay una serie de versiones que se están usando in the wild. No hay una forma clara de saber si el malware BlackEnergy está operado por un solo grupo de delincuentes o por varios.

Volvamos a los motivos…

Tener un backdoor funcional dentro de un sistema de TI, que se interconecte en directo con el sistema de control industrial de una empresa energética… no creo que haga falta describir lo que significa.

Tal vez algunos ejemplos ayudarían a los lectores a imaginar las posibles consecuencias…

Los sistemas industriales críticos deben estar aislados de los sistemas de TI

En el pasado, hubo una serie de ataques cibernéticos graves contra los sistemas industriales. No hay pruebas en todos los casos, ya que las víctimas no suelen revelar detalles. Sin embargo, creemos que dos casos quedaron claramente comprobados: la destrucción de centrifugadoras de enriquecimiento de uranio en una instalación nuclear iraní, y los daños a un alto horno en una planta alemana de acero. El malware también es responsable (entre otras cosas) de la apertura de todas las puertas en una sección de máxima seguridad de una cárcel estadounidense, permitiéndoles a los miembros de una pandilla atacar a sus rivales.

¿Qué pueden hacer las organizaciones para evitar resultar víctimas de ataques cibernéticos a su tecnología operativa?

En primer lugar, los sistemas industriales críticos deben estar aislados de los sistemas de TI. Pero la triste realidad es que a veces podemos encontrar sistemas de control industriales conectados a Internet simplemente buscando en Google. Es importante seguir las estrategias defensivas recomendadas por instituciones como el Equipo de Respuesta ante Emergencias Informáticas (CERT) de los Estados Unidos o el Instituto SANS .

Entonces, para las PC “comunes” dentro de una instalación industrial (cuando por alguna razón no están aisladas de Internet) se deben aplicar las normas habituales de seguridad cibernética, por ejemplo, tener el software de seguridad actualizado y que suministre múltiples niveles de seguridad, gestionar adecuadamente los parches, hacer backups, educar periódicamente al usuario, etc.

Pero me parece que las empresas a menudo subestiman los riesgos cibernéticos que corren sus tecnologías operativas

Lamentablemente, es cierto. Sin embargo, ahora las empresas tienen otro incentivo para reducir su tolerancia a los riesgos de seguridad cibernética: la agencia de calificación Moody comunicó que también tendrá en cuenta los riesgos cibernéticos al momento de establecer sus calificaciones. Esperemos que este lamentable caso en Ucrania al menos les sirva a otras organizaciones del mundo como advertencia para reforzar su seguridad de TI.

Autor , ESET

Síguenos