A siete años de Stuxnet, los sistemas industriales están nuevamente en la mira

Junio parece ser un mes históricamente rico en eventos relacionados a la seguridad de sistemas industriales.

Por ejemplo, el 17 de junio de 2010 puede considerarse el día en que Stuxnet fue descubierto, y ese fue el malware detrás del primer ciberataque destinado a la infraestructura crítica, mientras que en junio de 2014 hubo reportes de ataques contra varias compañías usando Havex, un troyano de acceso remoto que recolecta datos de sistemas de control industrial o SCADA (Supervisory Control and Data Acquisition).

Más recientemente, en junio de 2017, ESET publicó su análisis sobre Industroyer, otra gran amenaza a sistemas de control industrial.

Stuxnet: el primero y sin igual en complejidad

Stuxnet fue un gusano descubierto por la compañía de seguridad de TI bielorrusa VirusBlokAda, el 17 de junio de 2010. Ese día fecharon su descripción del malware, que en ese entonces se llamaba de otra forma.

Este malware tuvo un papel central en lo que se considera el ciberataque más sofisticado de la historia: una operación contra el programa nuclear de Irán. A pesar de algunos escollos en el ataque y unos pocos errores en el propio Stuxnet, se logró ralentizar el proceso de enriquecimiento de uranio en Natanz, una instalación nuclear iraní, y eventualmente demorar el proceso de creación de armas nucleares por parte del país.

los atacantes lograron que la presión en las centrífugas sea mucho más alta de lo normal

Fue el primer malware descubierto apuntando a sistemas industriales y el primero en incluir un rootkit contra controladores lógicos programables, una técnica sigilosa que se basa en la falsificación de información sobre la presencia del código, con el fin de ocultarse. En el caso de Stuxnet, esta técnica fue capaz de camuflar su interferencia con la velocidad de rotación del motor de los sistemas de monitoreo.

El ataque de Stuxnet tuvo varias etapas. En la primera, el gusano en sí mismo se propagó de manera indiscriminada a través de redes. Explotando cuatro vulnerabilidades desconocidas, llamadas zero-day, liberaba un payload especializado que apuntaba a sistemas SCADA específicos, el cual era capaz de reprogramar los dispositivos.

Es bien sabido que la operación Stuxnet dañó las centrífugas usadas en el proceso de enriquecimiento de uranio alterando la velocidad de su rotor. Las vibraciones y distorsiones causadas por cambios grandes y repentinos en la velocidad destruyeron, según las estimaciones publicadas, aproximadamente 1.000 centrífugas. Como los iraníes no pudieron reemplazarlas rápidamente, terminaron produciendo menos uranio enriquecido que el que hubieran producido.

Pero hay otra fase del ataque que fue subestimada en las descripciones anteriores. Antes de que los atacantes recurrieran a alterar la velocidad de las centrífugas, habían tratado de dañar sus rotores mediante sobrepresión.

Las centrifugadoras de gas para el enriquecimiento de uranio son extremadamente sensibles a la presión del proceso. Normalmente, operan bajo una presión cercana al vacío. Cualquier aumento disminuye la eficiencia del enriquecimiento, y los aumentos mayores conducen a cambios en el proceso que pone una mayor tensión mecánica en el rotor. Los atacantes aprovecharon esta vulnerabilidad y el payload de esta variante temprana de Stuxnet tomó el control por completo.

Actuando como Man-In-The-Middle, manipularon los valores de proceso dentro del controlador. Como resultado, el código legítimo se ejecuta en base a valores falsos ingresados para llegar al objetivo deseado: que la presión en las centrífugas sea mucho más alta de lo que debería ser con los valores estándar.

las estrategias que podrían funcionar en la seguridad TI son más difíciles en estos entornos

Por qué el daño no fue tan grave como los atacantes habían esperado, lo que los llevó a diseñar el payload número dos (el que altera la velocidad) va más allá del alcance de este artículo. En cuanto a por qué los atacantes aflojaron gradualmente su meta de permanecer bajo el radar y eventualmente dejaron al malware evadir los entornos objetivo, quizá nunca lo sepamos.

Todavía falta evaluar si la operación Stuxnet fue exitosa desde un punto de vista geopolítico; dado que los detalles permanecen ocultos en los archivos de los servicios secretos, una evaluación de este tipo debe esperar a que sean desclasificados.

Desde el punto de vista de la ciberseguridad, Stuxnet fue un hecho sin precedentes que debería haber servido como llamado de atención para todos los involucrados en la seguridad de sistemas industriales. Como escribió Ralph Langner en su famoso paper To Kill a Centrifuge: "Si bien el ataque fue altamente específico, las tácticas y la tecnología no lo son; son genéricas y pueden usarse también contra otros objetivos".

Cuatro años después de Stuxnet: los ataques de recopilación de inteligencia de Havex

En junio de 2014, se detectó otro malware diseñado para atacar sistemas industriales que estaba dirigiéndose a compañías en Europa. Fabricantes de aplicaciones industriales y máquinas en Europa y los Estados Unidos fueron blanco de Havex, un troyano de acceso remoto que recolecta datos de sistemas de control industrial/SCADA.

El ataque, que puede catalogarse como Watering Hole, fue aparentemente un intento de recolectar inteligencia necesaria para ejecutar más ataques en infraestructuras construidas usando hardware de los fabricantes seleccionados.

Si bien no se detectó que esto ocurriera, el caso de Havex nos recuerda que los cibercriminales, ya sean patrocinados por un estado (como aparentemente fue el caso con Stuxnet) o motivados por las ganancias económicas, tienen herramientas e información disponible para atacar sistemas industriales.

Siete años después de Stuxnet: un malware corta la electricidad

El 12 de junio de 2017, ESET publicó su análisis de Industroyer, la mayor amenaza a sistemas de control industrial desde Stuxnet.

Industroyer fue muy probablemente el malware que apagó la red eléctrica en Kiev, la capital de Ucrania, en diciembre de 2016. Más importante aún, es el primer malware capaz de atacar una red eléctrica automáticamente; por ejemplo, BlackEnergy tenía el mismo objetivo pero atacaba a la infraestructura y luego el corte de energía se debía ejecutar manualmente.

Con ajustes menores, es capaz de dañar de manera significativa a sistemas de energía eléctrica en la región de EMEA (Europa, Medio Oriente y África) y potencialmente en otras partes del mundo, incluyendo los Estados Unidos. También podría transformarse para apuntar a otros tipos de infraestructuras críticas como intalaciones de distribución de gas o agua, o sistemas de transporte.

Los sistemas industriales necesitan protección

Es necesario comprender realmente los métodos que introdujo Stuxnet (los cuales se detallan en nuestro paper en inglés Stuxnet under the Microscrope) para evaluar los riesgos que los sistemas industriales enfrentan. Las tecnologías sobre las que funcionan no fueron pensadas para ser conectadas a Internet y se diseñaron sin pensar en la seguridad.

Por otro lado, las estrategias de mitigación que podrían funcionar bien en la seguridad TI, como redes aisladas (air gaps), tecnologías antimalware o parches de seguridad, son mucho más difíciles de ejecutar en este tipo de entornos.

Todo esto nos deja con una conclusión preocupante: la sofisticación de estas amenazas que apuntan a sistemas de control industrial, combinada con la habilidad de sus operadores y/o autores contrasta mucho con el nivel de (in)seguridad de algunas áreas de estas infraestructuras.