En una fría noche de invierno de 2016, Ucrania sufrió el primer corte de energía causado por un código malicioso (malware) diseñado para atacar de forma autónoma la red eléctrica. Una quinta parte de los ciudadanos de Kiev quedaron sumidos en la oscuridad después de que los atacantes utilizaran malware para atacar la red eléctrica de la capital. Seis años más tarde, durante los primeros meses de la actual guerra entre Rusia y Ucrania, un segundo ataque intentó derribar la red eléctrica de Ucrania utilizando una combinación de ataques cinéticos y cibernéticos.
Los ataques de malware a la infraestructura física han sido durante mucho tiempo una amenaza apremiante en el campo de la ciberseguridad, pero estos dos ataques en Ucrania son los primeros de su tipo y han llamado la atención de la comunidad académica. El ataque perpetrado por los servicios de inteligencia rusos contra Ucrania advierte de que los ciberataques se están expandiendo al mundo de la arquitectura y destaca la necesidad de comprender mejor y protegerse contra este tipo de malware.
Un nuevo artículo presenta el primer estudio sobre cómo los ataques de malware, denominados Industroyer One y Two, operaron e interactuaron con los equipos del sistema de energía físico. El documento se presentará el 20 de mayo en el Simposio IEEE sobre Seguridad y Privacidad, la conferencia insignia sobre ciberseguridad del Instituto de Ingenieros Eléctricos y Electrónicos, y será presentado por Luis Salazar, Sebastián Castro, Juan Lozano y Keelty. por un equipo de estudiantes de UC Santa Cruz, incluido Connell, y dirigido por Álvaro Cárdenas, profesor asociado de informática e ingeniería.
“Quiero enfatizar cuán vulnerables son nuestros sistemas. No sé por qué esto no ha tenido un impacto mayor en términos de conciencia, política y planificación de seguridad”, dijo Cárdenas. “Cuando vemos que los estados-nación diseñan malware que destruye las redes eléctricas de otros países, parece un gran problema. Nuestra infraestructura crítica es vulnerable a estos ataques, y debemos estar mejor preparados para defendernos de ellos”. “
Comprender los industriales 1 y 2
El malware utilizado en el ataque de 2016 se denominó Industoyer One, y el malware similar pero diferente utilizado en 2022 se denominó Industoyer Two. Los Cinco Ojos, una alianza de inteligencia que incluye a Australia, Canadá, Nueva Zelanda, el Reino Unido y Estados Unidos, ha atribuido ambos ataques a la agencia de inteligencia militar de Rusia, el GRU.
Si bien el primer ataque puede verse como un ejemplo de intimidación no bélica y una demostración de poder, Cárdenas dijo que el segundo ataque es un vistazo a la guerra mundial moderna.
“Este es un ejemplo de guerra moderna que combina ataques físicos y cibernéticos”, dijo Cárdenas. “Este no es un evento aislado, estos eventos en el mundo cibernético y físico se refuerzan entre sí para crear el mayor daño después de la aceptación de nuestro documento y de la notificación de otro ataque que fue dirigido al mismo tiempo como un ataque cinético.
Este ataque de malware no es sólo el primer y único ejemplo de un ciberataque a una red eléctrica, sino que también forma parte de unos pocos ataques de malware conocidos a infraestructuras físicas comunes.
El primer ejemplo de ataque de malware a infraestructura física fue el ataque Stuxnet, descubierto en 2010 y desplegado hace varios años para destruir centrifugadoras en una planta iraní de enriquecimiento de uranio. Los ataques de malware anteriores se dirigieron únicamente a sistemas informáticos tradicionales, como los sistemas financieros y de TI.
El ataque a Industroyer provocó un corte de energía regional que duró varias horas. Este tipo de ataque requiere que los operadores reparen el problema localmente y se vuelvan a conectar al sistema principal, y es mucho menos catastrófico que un colapso del sistema. En caso de colapso del sistema, los errores podrían afectar al sistema “en masa” y provocar la caída de la red eléctrica de todo el país.
“Si bien estos ataques han podido causar cortes de energía localizados, hasta ahora no han resultado en un colapso total del sistema. Es mucho más probable que los ataques que colapsan la red eléctrica provoquen que países enteros se queden sin electricidad durante varios días”. dijo Cárdenas.
Creando una zona de pruebas para el aprendizaje
Los investigadores de la UCSC no son los únicos que estudian estos dos ataques, pero el equipo de Cárdenas publicó un documento técnico de la industria que detalla cómo opera e interactúa el malware con el equipo que controla la infraestructura. Descubrí que no pude obtener una respuesta satisfactoria. a si funcionó. Su informe es el primero en detallar exactamente cómo interactuó el malware con el mundo físico.
Cárdenas obtuvo una copia del malware y los investigadores pudieron construir una zona de pruebas. El sandbox es un entorno de software que engaña al malware haciéndole creer que está dentro del entorno específico de la industria de la red eléctrica de Ucrania, lo que permite a los investigadores comprender exactamente cómo interactúa el malware con el sistema. Los investigadores emularon la sala de control de un operador de red eléctrica con conexiones remotas a subestaciones y una red de subestaciones con conexiones locales a equipos eléctricos. Su zona de pruebas está abierta para que la utilicen otros investigadores.
Los investigadores utilizaron sandboxing para encontrar similitudes entre los ataques, pero hubo una clara evolución en el malware.
Ambos ataques de Industroyer fueron completamente automatizados, no requirieron intervención humana después de su implementación y penetraron áreas de la red eléctrica que fueron diseñadas para estar aisladas de Internet para mayor seguridad. Ambos ataques comprometieron computadoras con Windows en subestaciones o salas de control para manipular el estado de los disyuntores de la red eléctrica.
Industroyer One actuó como una navaja suiza en el sentido de que podía atacar tanto a sistemas más antiguos que se ejecutaban en líneas serie como a sistemas modernos que se ejecutaban en sistemas de comunicación modernos. Desarrollados sin objetivos específicos, pueden atacar directamente desde el interior de subestaciones de la red eléctrica o desde centros de control a cientos de kilómetros de distancia. Esperábamos dirigir el ataque desde los propios archivos de configuración del sistema. Sin embargo, estas características no significaban que no hubiera defectos.
“Tenía la flexibilidad de atacar desde cualquier lugar, pero también tenía errores”, dijo Cárdenas. “Hubo algunos errores de implementación que no seguían el protocolo. [meant to be] Aunque fue muy específico, lo probamos en varios dispositivos diferentes y funcionó en algunos dispositivos pero no en otros debido a un error. “
Industroyer Two, por otro lado, es muy específico y no requiere leer archivos de configuración, ya que el malware tiene objetivos integrados. Los investigadores descubrieron que el malware tenía como objetivo tres direcciones IP asociadas con dispositivos específicos. Quizás para controlar los interruptores de una subestación en particular. Se ha eliminado un error en Industryer One.
“Sabían mejor lo que buscaban, probablemente porque tuvieron tiempo para mejorar el malware y eliminar errores con el tiempo”, dijo Cárdenas.
Los investigadores observaron que los ataques de Industoyer se dirigieron a diferentes números de interruptores y descubrieron que diferentes tipos de ataques de desconexión pueden tener diferentes consecuencias para la red eléctrica. Contrariamente a la intuición, descubrimos que apagar todos los interruptores a la vez no causaba ningún problema importante, ya que desconectar la carga y la generación al mismo tiempo equilibraba el sistema. Los ataques más estratégicos pueden tener como objetivo crear un desequilibrio, lo que puede causar problemas importantes en el sistema masivo.
futuros planes de defensa
En general, esta evolución observada en el ataque Industroyer indica que los ataques de malware se están volviendo más sigilosos. Ambos ataques se dirigieron a computadoras dentro del centro de control, pero los investigadores creen que futuros atacantes podrían intentar tomar el control de “dispositivos electrónicos inteligentes” (IED) integrados dentro de los propios sistemas. Actualmente no existe ningún malware dirigido a estos, pero podrían volverse atractivos en el futuro, ya que los piratas informáticos podrían enviar comandos maliciosos y obligar a los operadores humanos a informar que todo está funcionando bien. Puede convertirse en un objetivo.
Aunque el ataque de Industryer ocurrió en un lugar geográficamente distante de los Estados Unidos, la distancia no garantiza la seguridad.
“Un ataque podría ocurrir aquí o en cualquier parte del mundo”, dijo Cárdenas. “Ahora todos los sistemas están controlados por computadora y utilizan prácticamente la misma tecnología”.
Con esto en mente, los investigadores están intentando configurar sandboxes en lo que se llama “honeypots”. Este es un tipo de software señuelo que se hace pasar por un sistema que se ejecuta en la red operativa de una empresa de servicios públicos. Los operadores del sistema saben que no deben usar este señuelo, por lo que si ven actividad en el honeypot, saben que proviene de un atacante externo y son alertados del ataque.
Los investigadores están diseñando honeypots que sean lo suficientemente versátiles como para funcionar no sólo en redes eléctricas, sino también en una variedad de sistemas de control, incluidas refinerías de petróleo y sistemas de tratamiento de agua.
También planeamos acelerar la incorporación de asistentes de IA en nuestras redes operativas, permitiéndoles decodificar y responder a los ataques en tiempo real a medida que ocurren.
Entre los colaboradores de este proyecto se encuentran los estudiantes de doctorado de Cárdenas Luis Salazar, Sebastián Castro, Juan Lozano y Kielti Connell, así como Emanuele Zambon de la Universidad Tecnológica de Eindhoven y Vin B. de la Universidad de Texas en Austin. Marina Klotofil de Information Systems Security Partners, y Alonso Rojas de Axon Group.
Una versión anterior de esta investigación recibió el Premio Commander, el más alto honor, en el primer evento de la Red de Participación Académica del U.S. Cyber Command.
Fuente: https://news.ucsc.edu/2024/05/ukraine-cybersecurity.html
