Hoy, en la segunda jornada de esta ekoparty 2017, le llegó el turno de subir al escenario a Robert Lipovsky, investigador de ESET en Eslovaquia y líder del equipo que descubrió a Industroyer, la mayor amenaza a sistemas de control industrial desde Stuxnet.
Esta fue una de las investigaciones más importantes del año para ESET y fue un orgullo poder presentarla aquí en Argentina, para traer a Latinoamérica los últimos hallazgos sobre el avance del malware a nivel global.
La charla de Robert comenzó con un repaso a la historia del malware que apunta a sistemas de control industrial en general, para luego enfocarse en los cortes de luz en Ucrania y el impacto potencial de estas amenazas.
"Industroyer no es un típico malware: está totalmente diseñado para atacar redes de distribución eléctrica". Robert Lipovsky en #eko13 pic.twitter.com/Qi58ig6BFj
— ESET Latinoamérica (@ESETLA) 28 de septiembre de 2017
La investigación de ESET sobre Industroyer, publicada en junio pasado, fue reveladora y llevó cerca de seis meses. Sucede que este es el primer malware diseñado específicamente para atacar redes eléctricas, a diferencia de amenazas con consecuencias similares como BlackEnergy u otras como Stuxnet (2010) o Havex (2014), que no fueron diseñadas para sistemas de control industrial específicos.
Los operadores del malware, en este caso, se aprovechan de Internet para controlar los procesos industriales. La particularidad es que usan los protocolos de la manera en que se supone que sean usados; es decir, no necesita exploits para aprovecharse de ellos, ya que son vulnerables por su diseño. Como Robert explicó hace unos meses, estos protocolos fueron diseñados sin pensar en la seguridad, porque no se esperaba conectarlos a Internet.
La charla prosiguió con el análisis técnico de la amenaza y la descripción de sus componentes: un backdoor principal que tiene una amplia lista de comandos, entre ellos uno que le permite persistir en el sistema infectado, así como un backdoor adicional, un escáner de puertos y una herramienta DoS.
"Win32/Industroyer es un malware avanzado y sofisticado, pero es apenas una herramienta en manos de un actor malicioso aún más avanzado y muy capaz. Utilizando los registros producidos por el conjunto de herramientas y los payloads altamente configurables, los atacantes podrían adaptar el malware a cualquier entorno comparable", concluyó Robert.
Si te interesó Industroyer no dejes de leer el white paper (en inglés) y haznos saber si tienes preguntas para sus autores.
Mientras tanto, sigue nuestra cobertura de ekoparty aquí, en WeLiveSecurity, y en nuestros perfiles de Twitter y Facebook.
