Un nuevo informe muestra cómo los atacantes rusos pudieron sabotear el suministro eléctrico de Ucrania mucho más rápidamente que antes.
La red eléctrica ucraniana es blanco de numerosos ataques rusos: trabajadores reparan líneas de alta tensión en Jersón en diciembre de 2022.
Los ataques al suministro energético de Ucrania son parte de las tácticas de guerra de Rusia. Sin embargo, los cortes de energía no tienen ningún beneficio militar directo. Su objetivo es desgastar a la población. El otoño pasado, Rusia llevó a cabo numerosos ataques con misiles y drones.
El 10 de octubre, después de meses de relativa calma, comenzaron los ataques a infraestructuras críticas en toda Ucrania. La capital, Kyiv, se encontraba bajo intenso fuego. Uno de los objetivos era dañar la infraestructura energética, y lo consiguió. Llegó a casi 4.000 ciudades y pueblos Habrá cortes de luz hasta fin de semana.
Lo que no se sabía hasta ahora: al menos en un caso, un ciberataque provocó un corte de energía el 10 de octubre. Esto puede parecer insignificante teniendo en cuenta los numerosos ataques con cohetes. Pero lo que llama la atención es el nuevo enfoque de los atacantes. Se teme que los ciberataques a infraestructuras críticas se lleven a cabo más rápidamente en el futuro y sean más difíciles de detectar.
Los ataques a infraestructuras críticas, como el suministro de energía, se consideran complejos y costosos. El grupo Sandworm, perteneciente al servicio de inteligencia militar ruso GRU, ya provocó cortes de energía en Ucrania en 2015 y 2016 mediante ciberataques. En aquella época se utilizaba software malicioso muy laboriosamente programado, que requería un largo período de preparación.
Estos ataques son complejos porque los sistemas de suministro de energía o agua con sus generadores, convertidores o bombas se controlan mediante una tecnología especial. Esta llamada OT (Tecnología Operacional) se basa en nuestros propios sistemas y protocolos. Se puede programar malware para este propósito. Pero esto es tan complejo que actualmente ocurre raramente. Hasta la fecha, sólo se conocen en todo el mundo unos pocos programas maliciosos de este tipo.
Los atacantes podrían enviar una orden a la subestación.
Por lo tanto, en el ataque de octubre de 2022, Sandworm adoptó un enfoque diferente. El grupo hizo uso de herramientas existentes, como empresa de seguridad Mandiant en un nuevo informe escribe. Esto permitió que el ataque se llevara a cabo rápidamente.
A más tardar en junio de 2022, el grupo ruso obtuvo acceso a uno de los servidores de la víctima que estaba conectado a Internet. Desde allí accedía a una computadora para controlar las subestaciones y podía importar comandos allí. Entonces, los atacantes probablemente abrieron los disyuntores en las subestaciones, y el día 1. Habrá un corte de energía en octubre. Dos días después, el grupo utilizó el llamado software de limpieza para borrar datos adicionales de los sistemas informáticos, lo que provocó más perturbaciones y destruyó los rastros del ataque.
El ataque al suministro eléctrico fue posible gracias al software de control obsoleto del fabricante ABB, cuya división de redes eléctricas se ha fusionado con Hitachi Energy. El software antiguo permitía enviar comandos directos a la subestación a través de una interfaz. Esta función ha estado deshabilitada de forma predeterminada desde la versión 2014. Obviamente no hubo ninguna actualización por parte de la compañía eléctrica afectada.
Se desconoce en qué región de Ucrania se produjo el ciberataque ruso. Tampoco se sabe cuánto duró el corte de energía ni cuántas personas resultaron afectadas. El Servicio de Comunicaciones Especiales y Seguridad de la Información de Ucrania (SSSCIP) no respondió a la solicitud correspondiente.
Según se informa, las autoridades ucranianas decidieron no publicar el incidente en detalle por razones de seguridad. El hecho de que Mandiant esté haciendo esto ahora ha sorprendido a algunas partes de Kiev. La empresa de seguridad informática Mandiant, que forma parte de Google desde hace un año, está muy implicada en la defensa contra los ciberataques rusos en Ucrania. También trabaja con las autoridades ucranianas, en el caso de este informe con el servicio secreto ucraniano SBU.
Si Sandworm ataca objetivos en Occidente es una cuestión política
De las numerosas unidades cibernéticas rusas activas en Ucrania desde la invasión, Sandworm es la única con un fuerte enfoque en operaciones de sabotaje. Entre octubre y diciembre de 2022, logró penetrar los sistemas de las empresas energéticas ucranianas en tres casos notables, escribió en marzo la agencia de ciberseguridad SSSCIP. Probablemente esto también incluya el ataque descrito por Mandiant.
Lo notable de este ciberataque es la nueva táctica de Sandworm. Probablemente los atacantes pudieron llevar a cabo su acto de sabotaje en unos dos o tres meses, sin tener que invertir mucho esfuerzo en el desarrollo técnico de herramientas. Simplemente utilizaron las capacidades técnicas existentes de los sistemas de control industrial.
No es nuevo que los atacantes utilicen programas que ya están instalados en los sistemas para ciertos pasos. Esta táctica a veces se puede ver en grupos criminales de ransomware. Tiene la ventaja de que los ataques son menos fáciles de detectar. Porque no se introduce ningún malware externo que no pertenezca al sistema.
Lo nuevo es que los atacantes estatales también utilizan este enfoque en los sistemas OT de las plantas industriales. Sandworm podría atacar fácilmente a otros objetivos de esta manera. Los sistemas correspondientes de ABB e Hitachi Energy se utilizan en todo el mundo. El analista de Mandiant, Nathan Brubaker, está convencido de que con el conocimiento existente sobre OT, Sandworm podría incluso atacar sistemas de otros fabricantes con relativa facilidad.
Sin embargo, según Brubaker, queda por ver si Rusia quiere siquiera atacar infraestructuras críticas fuera de Ucrania. Se trata más de una cuestión de motivación política que de habilidades técnicas. Porque una cosa está clara: un acto ruso de sabotaje contra la infraestructura occidental podría provocar una escalada.