El Departamento de Seguridad Nacional de los Estados Unidos emitió un extensivo reporte que confirma que hubo un ciberataque en Ucrania durante diciembre de 2015; este ataque fue el responsable de los cortes de luz en ese entonces, que afectaron a cerca de 225.000 personas.
Dicho reporte, publicado por el equipo de respuesta a incidentes de sistemas de control industrial (ICS-CERT), se basa en entrevistas con personal de TI y operaciones de seis organizaciones ucranianas que vivieron de cerca la experiencia, y reafirma lo que desde ESET señalamos desde el principio: que no fue un incidente aislado, sino que más de una empresa energética en Ucrania había sido atacada por ciberdelincuentes al mismo tiempo.
Además, en enero de 2016, el investigador Robert Lipovsky reveló que los atacantes estaban utilizando la familia de malware BlackEnergy; y si bien su papel en estos incidentes no se puede determinar con exactitud, ya que el informe del ICS-CERT no cuenta con un análisis técnico del hardware o software involucrado, está ahora confirmado que todas las compañías energéticas entrevistadas habían sido infectadas con esta amenaza.
El malware se propagaba a través de spear phishing, es decir, correos personalizados con adjuntos de Microsoft Office maliciosos. La hipótesis a confirmar es que BlackEnergy fue usado como vector de acceso inicial para adquirir credenciales legítimas.
Estos son los hechos que la entidad pudo constatar:
Intrusiones en tres compañías de distribución de energía eléctrica regionales (Oblenergos) impactaron a aproximadamente 225.000 clientes. Si bien la energía se restauró, todas las Oblenergos continúan funcionando bajo operaciones restringidas. Además, otras tres organizaciones, algunas de otros sectores de infraestructuras críticas, también sufrieron intrusiones pero no experimentaron impactos operacionales.
El ciberataque fue sincronizado y coordinado, probablemente posterior a un extenso reconocimiento de las redes de la víctima. Según el personal, los ciberataques a cada compañía ocurrieron dentro de 30 minutos de diferencia entre sí e impactaron múltiples instalaciones centrales y regionales.
Durante los ataques, la operación remota maliciosa de los interruptores se llevó a cabo por varios seres humanos externos usando herramientas de administración remota a nivel de sistema operativo existentes, o bien software de cliente remoto de sistema de control industrial (ICS) a través de una red privada virtual (VPN). Las empresas creen que los actores adquirieron credenciales legítimas antes del ataque para facilitar el acceso remoto.
En sintonía con lo que los investigadores de ESET habían descubierto, tres compañías entrevistadas indicaron que el componente destructivo KillDisk borró archivos de sistema y corrompió el master boot record (MBR), dejando a los sistemas inutilizados.
"Nuestro análisis del malware destructivo KillDisk detectado en varias compañías eléctricas ucranianas en teoría indica que es capaz de apagar los sistemas críticos. No obstante, hay otra explicación posible", concluyó el investigador de ESET Robert Lipovsky al analizar esta amenaza a principios de año.
Según su razonamiento, "el backdoor BlackEnergy por sí mismo les proporciona a los atacantes acceso remoto a los sistemas infectados. Tras infiltrarse exitosamente en un sistema crítico con cualquiera de estos troyanos, el atacante debería ser capaz de apagarlo; en tal caso, KillDisk actuaría como un medio para dificultar aún más la recuperación del sistema".
