Los últimos momentos de 2015 dieron un giro interesante cuando cientos de miles de hogares, lo que equivale a la mitad del número de residencias en la región de Ivano-Frankivsk, en Ucrania, se quedaron a oscuras, literalmente. El incidente fue muy diferente al apagón que se informó anteriormente, causado por explosivos colocados por presuntos nacionalistas ucranianos en la península de Crimean en noviembre pasado. Este incidente, dijeron los investigadores, fue causado por malware en su sistema, lo que resultó en una interrupción de 6 horas el pasado 23 de diciembre.
Según el investigador de malware Robert Lipovsky, mientras que la autoridad de energía de Ucrania Occidental Prykarpattyaoblenergo fue la única empresa que divulgó detalles de un corte de luz, otras dos empresas eléctricas también fueron afectadas por un malware similar que se encontró en sus redes.
Después de que el servicio de seguridad de Ucrania acusando a Rusia por el apagón – debido a la rivalidad militar y política actual entre ambos países – las investigaciones han llevado al descubrimiento de una muestra de malware que se decía que había causado el apagón. El experto en ciberseguridad Robert M. Lee destacó que “El malware es un archivo ejecutable Windows de 32 bits y de naturaleza modular, lo que indica que se trata de un módulo de una pieza de malware más complejo.”
Poco después, Lee trabajo la muestra con el Investigador de Amenazas Futuras de Trend Micro Kyle Wilhoit y se confirmó que el malware tiene una rutina de limpieza que puede afectar el sistema infectado. Poco después de la investigación inicial de Lee, varios analistas e investigadores confirmaron que las empresas eléctricas fueron de hecho afectadas por un ciberataque, haciendo de este incidente, el primer corte de luz causado por un malware.
En consistencia con la información presentada por otros analistas e investigadores, Wilhoit compartió, “Este evento es preocupante e interesante al mismo tiempo. Por un lado, tenemos la primera información pública respecto de un malware que ataca a dispositivos SCADA. Esto es claramente malo. ¿Cuál podría ser el próximo, por ejemplo? Sin embargo, por otro lado, estamos tratando con algo increíblemente interesante, y nunca antes visto en público, de modo que se suma a su mística”.
“Lo que sí sabemos es que la energía se vio afectada en Prykarpattyaoblenergo, con malware que contribuyó con el corte de luz. También sabemos que este malware se dirige no sólo Prykarpattyaoblenergo, sino también por lo menos una empresa de broadcasting de Ucrania. Las víctimas, en la etapa actual, todos parecen estar en Ucrania, y no fuera “, añadió Wilhoit.
Los expertos en seguridad señalan que las empresas eléctricas eran, de hecho, infectados por el malware perteneciente a BlackEnergy, un paquete que fue visto por primera vez en 2007 y actualizado hace varios años para agregar más capacidades. KillDisk, una característica adicional, podría hacer que los sistemas infectados se inutilicen y podría destruir los componentes vitales de un sistema infectado. En particular, se informó que poseen funciones que puedan poner en riesgo los Sistemas de Control Industrial (ICS).
“KillDisk era parte de una nueva campaña BlackEnergy y fue muy probablemente entregado a su víctima a través de un correo con phishing con una macro activada a través de un documento de Microsoft Excel adjunto. Este documento, una vez ejecutado, inicia la segunda etapa, que descarga los paquetes apropiados para residir en la máquina infectada “, señaló Wilhoit.
Esta no es la primera vez que el malware BlackEnergy quedó vinculado a un ataque en Ucrania. En 2014, su módulo KillDisk trajo un daño permanente a los medios de comunicación, en particular en los vídeos y otros contenidos según lo informado por el Computer Emergency Response Team. El mismo año, el equipo de Sandworm team behind BlackEnergy puso como blanco a miembros de la Organización del Tratado del Atlántico Norte (OTAN), los gobiernos de Ucrania y Polonia, y numerosas industrias en Europa. Otras investigaciones realizadas por el equipo de investigación de amenazas de Trend Micro revelaron que el grupo ha estado atacando a las víctimas-SCADA.
Dada la evidencia disponible los investigadores son cuidadosos para dar como conclusión de que el ataque que causó el apagón de Ucrania está ligado a Sandworm. Hasta la fecha, una comisión especial que se ha establecido y lleva a cabo análisis e investigaciones aún no han arrojado luz sobre una respuesta definitiva sobre qué provocó este tipo de incidente que ha sido durante mucho tiempo el tema de las advertencias de los expertos en seguridad.
Wilhoit añadió: “¿Sabemos si este malware es el único responsable? No. ¿Sabemos si hay algunas muestras de malware adicionales que podrían ser atribuidos a este incidente? Aún no. ¿Sabemos si los atacantes son Sandworm? No. Sin embargo, yo creo que esto no va a ser la última vez que veamos que el malware contribuyó al incidente Prykarpattyaoblenergo. Creo que vamos a ver algunas muestras más en los próximos días en torno a este incidente, probablemente incluyendo módulos BlackEnergy adicionales o herramientas de fase dos”.
Wilhoit, quien dio a conocer un estudio que detalla la inseguridad de los dispositivos SCADA, añadió: “Hasta que los protocolos de seguridad básicos se implementen en entornos SCADA, me temo que este tipo de cosas se harán más frecuentes.”
Publicado en Ataques Cibernéticos, Malware, Internet de las Cosas
Leave a Reply