Industroyer/BlackEnergy: cómo funciona la nueva amenaza mundial

industroyer
1 Agosto

Industroyer/BlackEnergy: cómo funciona la nueva amenaza mundial  

By J.M. Castillo, Post

Una avería de la red eléctrica a finales de 2015, dejó sin suministro a parte de la capital Kiev por una hora. Este titular puede pasar desapercibido si no fuera porque fue en realidad un ciberataque.

Hasta ahora existía la creencia de que solo se atacaba a sistemas informáticos en general y con Sistema operativo Windows en particular. Las cosas han cambiado y actualmente cualquier dispositivo electrónico conectado a la red es susceptible de ataques maliciosos. Con la proliferación de IOT (Siglas en ingles de internet de las cosas) hay multitud de elementos susceptibles de ser atacados, desde cámaras de vigilancia, Routers de internet, Smartphones, Televisiones, hasta los Switches (interruptores) que gestionan la red eléctrica de una ciudad o un país.

Hace algunas semanas, y gracias a la televisión, se conocieron ataques mundiales como wannacry o petry, (los cuales se habían dado también con anterioridad, pero con menor repercusión). Este hecho ha concienciado un poco más a los usuarios de que puede significar un ciberataque, y las consecuencias que puede tener; pero no lo suficiente.  Sin querer ser demasiado catastrofistas, este tipo de ataques pueden ser mucho más peligrosos que los vistos hasta ahora. Secuestrar la red eléctrica, o alguna de las redes de distribución (agua, gas, o la misma red de internet) puede tener consecuencias inimaginables para una ciudad o un país.

Aún no se ha confirmado si es el mismo malware el que está realmente involucrado en lo que los expertos en ciberseguridad consideraron una prueba a gran escala. Con la particularidad de que este Malware podría ser ajustado a otros tipos de infraestructuras. Según explica la compañía ESET, que es quien la ha descubierto, tiene la capacidad de controlar conmutadores e interruptores de subestaciones eléctricas.

Industroyer es particularmente peligroso ya que está programado para tener acceso y con ello controlar directamente los interruptores de la subestación eléctrica directamente. Para ello utiliza protocolos de comunicación industrial implementados a nivel mundial IEC 60870-5-101, IEC 60870-5-104, IEC 61850 y OLE para Process Control Data Access (OPC DA). Para entendernos; son como los interruptores que podemos tener en nuestra casa, pero a otro nivel, soportan mucha más tensión, son motorizados y pueden ser controlados remotamente, para ello usan electrónica y conexión externa.

La vulnerabilidad de estos protocolos es debido a que se diseñaron hace muchos años, y como tal, solo se pensó en que los entornos industriales estuviesen aislados del exterior, y no se valoró la posibilidad de que pudiesen estar conectados a la red.

Volviendo a lo acontecido en Ucrania. En aquella ocasión, los atacantes se infiltraron en las redes de distribución eléctrica con el malware BlackEnergy, y luego tomaron el control del software de acceso remoto para controlar las estaciones de trabajo de los operadores y cortar el suministro.

Cómo funciona

Industroyer tiene cuatro componentes. El componente central es un backdoor (puerta trasera) al instalarse se conecta a un servidor remoto, tras ello informa del estado y queda a la espera de recibir “instrucciones de sus programadores”. Otro componente es un payload, el cual se encarga de recopilar comandos legítimos que funcionan con los interruptores, apuntando directamente a los protocolos estándares de la industria. El tercer componente es una herramienta de denegación de Servicio que explota la vulnerabilidad CVE-2015-5374 en dispositivos Siemens SIPROTEC y puede dejarlos sin respuesta.Otro componente (como es tradicional) elimina sus rastros una vez terminado el trabajo, haciendo así más difíciles las labores forenses.

Cómo puede acceder a nuestra red

Industroyer puede acceder a nuestra infraestructura de diversas formas, pero todas tienen un elemento común: utilizan el engaño para acceder.

  • Aplicación Troyanizada. Al igual que Wannacry o Petry, una de las formas más comunes es simular un correo electrónico que parece de confianza, el cual solicita que se clikee en un link que descarga e instala automáticamente el archivo,

  • Documento Troyanizado, usando la técnica anterior, en vez de un link, el correo tiene incrustado en algún documento, como macro de office o PDF, por ejemplo.

  • Unidades USB previamente infectadas. Al insertar un dispositivo de almacenamiento USB en un pc, este puede instalarse automáticamente.

  • Instalador Fake. Simulando una página de descargas de algún programa gratuito, o usando el exe de instalación de programas pirateados, puede venir insertado el archivo de instalación. A este respecto hay datos de haberse encontrado en un instalador que simulaba la aplicación Adobe Flash Player.

En próximos posts veremos cómo prepararnos ante esta nueva amenaza para poder prevenirla.

 

Existe un informe detallado del funcionamiento creado por ESET, y disponible en este link. https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

Aquí se puede leer la noticia del apagón: http://www.reuters.com/article/us-ukraine-cyber-attack-energy-idUSKBN1521BA

Fuentes:

https://www.certsi.es

https://www.welivesecurity.com

 

Comparte este artículo

 

Compartir10

 

Autor

Dpto sistemas

 

J.M. Castillo

Departamento de Sistemas

Otros artículos

Scroll al inicio