Estados Unidos confirma que un ciberataque causó los cortes de luz en… Ucrania

El Departamento de Seguridad Nacional de los Estados Unidos emitió un reporte que confirma la causa de los cortes de luz, que afectaron a 225.000 personas.

El Departamento de Seguridad Nacional de los Estados Unidos emitió un extensivo reporte que confirma que hubo un ciberataque en Ucrania durante diciembre de 2015; este ataque fue el responsable de los cortes de luzen ese entonces, que afectaron a cerca de 225.000 personas.

Dicho reporte, publicado por el equipo de respuesta a incidentes de sistemas de control industrial (ICS-CERT), se basa en entrevistas con personal de TI y operaciones de seis organizaciones ucranianas que vivieron de cerca la experiencia, y reafirma lo que desde ESET señalamos desde el principio: que no fue un incidente aislado, sino que más de una empresa energética en Ucrania había sido atacada por ciberdelincuentes al mismo tiempo.

Además, en enero de 2016, el investigador Robert Lipovsky reveló que los atacantes estaban utilizando la familia de malware BlackEnergy; y si bien su papel en estos incidentes no se puede determinar con exactitud, ya que el informe del ICS-CERT no cuenta con un análisis técnico del hardware o software involucrado, está ahora confirmado que todas las compañías energéticas entrevistadas habían sido infectadas con esta amenaza.

El malware se propagaba a través de spear phishing, es decir, correos personalizados con adjuntos de Microsoft Office maliciosos. La hipótesis a confirmar es que BlackEnergy fue usado como vector de acceso inicial para adquirir credenciales legítimas.

Estos son los hechos que la entidad pudo constatar:

Intrusiones en tres compañías de distribución de energía eléctrica regionales (Oblenergos) impactaron a aproximadamente 225.000 clientes. Si bien la energía se restauró, todas las Oblenergos continúan funcionando bajo operaciones restringidas. Además, otras tres organizaciones, algunas de otros sectores de infraestructuras críticas, también sufrieron intrusiones pero no experimentaron impactos operacionales.

El ciberataque fue sincronizado y coordinado, probablemente posterior a un extenso reconocimiento de las redes de la víctima. Según el personal, los ciberataques a cada compañía ocurrieron dentro de 30 minutos de diferencia entre sí e impactaron múltiples instalaciones centrales y regionales.

Durante los ataques, la operación remota maliciosa de los interruptores se llevó a cabo por varios seres humanos externos usando herramientas de administración remota a nivel de sistema operativo existentes, o bien software de cliente remoto de sistema de control industrial (ICS) a través de una red privada virtual (VPN). Las empresas creen que los actores adquirieron credenciales legítimas antes del ataque para facilitar el acceso remoto.

En sintonía con lo que los investigadores de ESET habían descubierto, tres compañías entrevistadas indicaron que el componente destructivo KillDisk borró archivos de sistema y corrompió el master boot record (MBR), dejando a los sistemas inutilizados.

“Nuestro análisis del malware destructivo KillDisk detectado en varias compañías eléctricas ucranianas en teoría indica que es capaz de apagar los sistemas críticos. No obstante, hay otra explicación posible”, concluyó el investigador de ESET Robert Lipovsky al analizar esta amenaza a principios de año.

Según su razonamiento, “el backdoor BlackEnergy por sí mismo les proporciona a los atacantes acceso remoto a los sistemas infectados. Tras infiltrarse exitosamente en un sistema crítico con cualquiera de estos troyanos, el atacante debería ser capaz de apagarlo; en tal caso, KillDisk actuaría como un medio para dificultar aún más la recuperación del sistema”.

Sabrina Pagnotta

“Ciberataque” en Venezuela: ¿misión imposible?

Nicolás Maduro acusa a EE.UU. de estar detrás del sempiterno apagón mediante el ciberataque a una central hidroeléctrica. DW hizo a cuatro expertos la misma pregunta: ¿sería posible algo así?

El jueves 7 de marzo de 2019, en Venezuela se hizo la oscuridad. A las cinco menos seis minutos de la tarde, hora local, una falla en la central hidroeléctrica de El Guri.

“No tenemos información técnica sobre lo ocurrido, por lo que no podemos saber qué paso. Para responder, necesitaríamos pruebas técnicas”. El que habla es Oleh Derevianko, fundador de la firma ucraniana de ciberseguridad ISSP. Ucrania ha vuelto brevemente a la actualidad informativa por las semejanzas del episodio caribeño con lo ocurrido el 23 de diciembre de 2015 en una central eléctrica del país, considerado el primer ciberataque exitoso de este tipo. Las acusaciones entonces se dirigieron a Rusia.

Derevianko explica a DW desde Kiev que la mayoría de la gente tiene una idea errónea de cómo funciona, teóricamente, un ciberataque a una central eléctrica. “No necesitas estar conectado a internet”, subraya. “Claro que necesitas una conexión a la red, pero los sistemas industriales no necesariamente tienen que estar conectados, basta con que lo estén las oficinas, o los sistemas de gestión”.

Lo mismo apunta Jeff Middleton, director de la empresa tecnológica TheVault, especializada en protección de datos. “Quizás sea más seguro no estar conectado a internet, pero desde luego no le hace inmune”, dice en una entrevista con DW desde Hong Kong.

Eso sí, sea cual sea el origen de la hipotética agresión cibernética, “normalmente se hace con la ayuda, voluntaria o no, de alguien que ya trabaja allí”. Está hablando de inside jobs: “La gente se piensa que todos estos ciberataques tienen lugar porque alguien sortea un cortafuegos o hace algo técnicamente significativo, pero en realidad suele pasar que lo que hacen es sobornar a un empleado y lograr que haga algo, ya sea entregar una contraseña, conectar un USB al sistema, etc.”. No necesariamente tiene que haber mala voluntad, agrega, pues pueden chantajearles o incluso engañarles, “pero sabiendo los enemigos que tiene Venezuela, me imagino que habrá voluntarios de sobra”.

¿Es posible entonces que Maduro esté en lo cierto? Selena Larson, analista de inteligencia de Dragos, reconoce que “ha habido casos similares”, pero recuerda que siguen sin haberse publicado detalles técnicos de ningún tipo. “No se han mostrado pruebas que sostengan la hipótesis del ciberataque”, afirma a DW desde San Francisco. A su juicio, sí se han planteado por el contrario alternativas que explican razonablemente lo ocurrido, en concreto la del incendio de vegetación que afectó a varias líneas del Guri y la consideración general de una pobre inversión en infraestructuras que viene lastrando el funcionamiento del sistema eléctrico del país desde hace mucho tiempo. Los apagones, de hecho, no son nada nuevo en Venezuela. Pero nunca habían adquirido este calibre.

Middleton no descarta esta posibilidad: “Sospecho que Venezuela está sufriendo algún tipo de ciberataque”. Eso no quita, añade, que la precaria situación de los sistemas de producción y suministro de electricidad no haya tenido que ver. En su opinión, “posiblemente sea una combinación” de ambas cosas.

¿Quién, y por qué?

La pregunta, en ese hipotético caso, es quién podría haber llevado a cabo un ataque así. El Gobierno venezolano ha señalado a Washington. Para Derevianko, un plan como este puede perfectamente llevarlo a cabo un hacker independiente, no es necesario que haya un Estado detrás. “La cuestión es que debería haber una motivación: ¿por qué se toma tanto tiempo en hacker en hacerlo? Si no hay una ganancia financiera, lo lógico es que se lo haya encargado alguien”. El ucranio insiste, no obstante, en esperar a las pruebas técnicas. Hasta entonces no hay más que conjeturas.

El francés Loic Guézo, experto en ciberseguridad de la compañía TrendMicro, también cree que la posibilidad del ataque está ahí, pero que “no hay pruebas”. Incluso pone sobre la mesa la alternativa de una “acción manual”: una sutil maniobra de una mano experta “y todo se desequilibra, creando un problema sistémico en el que es muy difícil saber dónde está el fallo.

Un ciberataque, un incendio cercano, un fallo en un sistema deteriorado, un sabotaje artesanal. El tiempo dirá qué fue lo que cubrió Venezuela con un manto de oscuridad. Fuese lo que fuese, Middleton destaca que lo ocurrido demuestra una concepción errónea de todo lo que gira en torno a la seguridad en un mundo cada vez más digitalizado: “No nos damos cuenta de que la ciberseguridad tiene más que ver con las personas que con los ordenadores y las redes. Si tienes muchos enemigos, tendrás que trabajar mucho más duro para protegerte de los ciberataques”.

Deutsche Welle

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

error: Content is protected !!
A %d blogueros les gusta esto: