La invasión rusa de Ucrania a principios de 2022 reavivó los combates en la región, pero también intensificó una ciberguerra en curso. En la conferencia de seguridad Black Hat, los investigadores de seguridad de ESET examinaron el malware Industroyer2, que fue diseñado para provocar un apagón masivo en Ucrania.
Introduzca Industroyer2
En su charla, los investigadores de ESET rastrearon el linaje del malware Industroyer2 hasta un ataque de 2013 en la red eléctrica de Ucrania utilizando el malware BlackEnergy, «el primer apagón causado por un ciberataque», según Robert Lipovsky, investigador principal de inteligencia de amenazas en ESET.
Aproximadamente un año después, un segundo ataque a la red eléctrica cortó el suministro eléctrico en ciudades de Ucrania. Pero a diferencia del primer ataque, este contó con el debut del malware Industroyer, que según Lipovsky fue solo el segundo malware después de Stuxnet «diseñado para causar daños físicos al hardware industrial».
Un avance rápido hasta la invasión rusa de Ucrania en 2022, y ESET detectó una nueva versión del malware que denominó Industroyer2. Esta vez, el ataque fue frustrado, evitando consecuencias nefastas. «Si el ataque hubiera tenido éxito, teóricamente más de 2 millones de personas podrían haber quedado en la oscuridad», dice Lipovsky. «En nuestra opinión, este fue el ataque cibernético más significativo, incluso si no tuvo éxito, en la guerra hasta el momento».
En su presentación, los investigadores identificaron al grupo Sandworm APT como responsable de crear y desplegar estos ataques. El Departamento de Justicia de EE. UU. acusó previamente a seis miembros de la agencia de inteligencia militar GRU de Rusia por actividades vinculadas al grupo Sandworm APT. ¿Por qué gusano de arena? Bueno, como explica Lipovsky, este grupo tiene una inclinación por usar nombres relacionados con Frank Herbert. Duna. Sí, en serio.
Examinando el Malware
Una parte importante de Industroyer e Industroyer2 es el uso de protocolos industriales que pueden comunicarse con los interruptores automáticos y otros mecanismos que se encuentran en las subestaciones eléctricas. El Industroyer original estaba equipado con cuatro de estos protocolos, pero Industroyer2 solo usa el protocolo IEC-104. Este protocolo se usa en muchas redes eléctricas, pero es vulnerable, ya que fue «diseñado hace décadas sin centrarse en la seguridad», explica Lipovsky.
Su co-investigador Anton Cherepanov, investigador senior de malware en ESET, enfatiza que la falta de seguridad del protocolo es crítica para el ataque. «[Industroyer2] no explota ninguna vulnerabilidad en absoluto, explota el protocolo tal como estaba destinado a ser utilizado».
Este es quizás el mayor desafío para el mundo desde la Segunda Guerra Mundial.
Tanto Industroyer como Industroyer2 se implementan junto con una gran cantidad de otros programas maliciosos. Algunos están destinados a ayudar a que el malware se propague en la red infectada, mientras que otros son ransomware falsos destinados a disfrazar la función real del malware. Lipovsky plantea la hipótesis de que los atacantes pueden haber implementado el ransomware falso después de que quedó claro que los investigadores habían descubierto el malware.
Una parte clave de ambos ataques de Industroyer es el uso de limpiaparabrisas, es decir, malware que estropea tanto las máquinas que no arrancan. Esto dificulta el descubrimiento del propósito real del malware y hace que sea más difícil mitigar el ataque una vez que comienza.
Aunque ninguna de las versiones de Industroyer fue completamente exitosa, siguen siendo una amenaza importante, aunque manejable, dice Lipovsky. «No debe ser exagerado, pero tampoco minimizado o subestimado».
en primera línea
Una incorporación sorpresa a la presentación provino de Victor Zhora, vicepresidente del Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania. Zhora explicó cómo el gobierno ucraniano está siguiendo activamente los consejos de la industria, en particular los relacionados con el sector energético. Investigar actividades inusuales como esa es lo que dijo que condujo al descubrimiento y mitigación de Industroyer2.
Recomendado por Nuestros Editores
También hubo algo de suerte. Los creadores de Industroyer2 codificaron una hora de activación de las 5:58 p. m. Zhora especula que se eligió porque, al ser tarde en el día, era probable que las estaciones de trabajo infectadas aún estuvieran encendidas pero no monitoreadas activamente mientras las personas se preparaban para terminar su jornada laboral. .
«Estos atacantes se perdieron algo muy importante», explica Zhora. «El viernes es un día laboral corto». En el momento en que deberían haberse activado los disparadores, la mayoría de las estaciones de trabajo infectadas ya estaban apagadas.
Zhora tuvo cuidado de agradecer a las empresas de seguridad que ayudaron a Ucrania, «en nuestra lucha por la existencia». Enfatizó que Industroyer2 es una “acción destructiva enfocada completamente en la infraestructura civil”.
«Este es quizás el mayor desafío para el mundo desde la Segunda Guerra Mundial», dice Zhora. «Y está sucediendo en el ciberespacio».
Siga leyendo PCMag para conocer lo último de Black Hat.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.