Los apagones en Ucrania causados ​​por ataques de malware advierten sobre la evolución de las amenazas a la ciberseguridad en el mundo físico

En una fría noche de invierno de 2016, los ucranianos experimentaron el primer apagón conocido causado por un código malicioso (malware) diseñado para atacar de forma autónoma la red eléctrica. Una quinta parte de los ciudadanos de Kiev quedaron sumidos en la oscuridad cuando los atacantes utilizaron malware para atacar la red eléctrica de la capital. Seis años más tarde, en los primeros meses de la actual guerra entre Rusia y Ucrania, un segundo ataque intentó combinar ataques cinéticos y cibernéticos para derribar la red eléctrica de Ucrania.

Los ataques de malware contra infraestructura física han sido durante mucho tiempo una amenaza inminente en el ámbito de la ciberseguridad, pero estos dos en Ucrania fueron los primeros ataques de este tipo y han recibido poca atención por parte de la comunidad académica. Realizados por una agencia de inteligencia rusa contra Ucrania, advierten de la evolución de los ciberataques al mundo construido, y destacan la necesidad de comprender y defenderse mejor de este tipo de malware.

A nuevo papel presenta el primer estudio sobre cómo los Industroyer One y Two, como se denominan estos ataques de malware, operan e interactúan con el equipo físico del sistema de energía. El documento se presentará el 20 de mayo en el Simposio IEEE sobre Seguridad y Privacidad (la conferencia insignia sobre ciberseguridad del Instituto de Ingenieros Eléctricos y Electrónicos) y fue dirigido por un equipo de estudiantes de UC Santa Cruz, incluidos Luis Salazar, Sebastián Castro, Juan Lozano y Keerthi Koneru, y asesorado por el Profesor Asociado de Ingeniería y Ciencias de la Computación Álvaro Cárdenas.

«Quiero enfatizar cuán vulnerables son nuestros sistemas; no sé por qué esto no ha tenido un mayor impacto en términos de conciencia de seguridad, y también de políticas y planificación», dijo Cárdenas. «Cuando ves a un estado nación diseñando malware para destruir la red eléctrica de otro país, parece ser un gran problema. Nuestras infraestructuras críticas son vulnerables a este tipo de ataques, por lo que debemos estar mejor preparados para defendernos».

Comprensión de los industriales uno y dos

El malware utilizado en el ataque de 2016 se denominó Industroyer One, y el malware similar pero distinto utilizado en 2022 se denominó Industroyer Two. Los Cinco Ojos, una alianza de inteligencia que incluye a Australia, Canadá, Nueva Zelanda, el Reino Unido y Estados Unidos, han atribuido ambos ataques al GRU, que es la agencia de inteligencia militar de Rusia.

El primer ataque puede verse como un ejemplo de intimidación y una flexión de poder sin guerra, dijo Cárdenas, mientras que el segundo es una mirada a la guerra en el mundo moderno.

«Es un ejemplo de guerra moderna que combina ataques físicos y cibernéticos», dijo Cárdenas. «No es un evento aislado, estos eventos en el mundo cibernético y el mundo físico se refuerzan mutuamente para crear el mayor daño posible. Después de que nuestro documento fue aceptado, recibimos notificación de otro ataque dirigido a la red eléctrica de Ucrania simultáneamente con un ataque cibernético. ataque y un ataque cinético.»

Los ataques de malware no son sólo el primer y único ejemplo de ciberataques contra una red eléctrica, sino que forman parte de un pequeño número de ataques de malware conocidos contra infraestructuras físicas en general.

El primer ejemplo de ataque de malware contra infraestructura física fue el ataque Stuxnet, descubierto en 2010 y desplegado algunos años antes con la intención de destruir las centrífugas de una planta de enriquecimiento de uranio en Irán. Antes de eso, los ataques de malware sólo se dirigían a sistemas informáticos clásicos, como los sistemas informáticos y financieros.

Los ataques de Industroyer provocaron apagones locales que duraron horas. Este tipo de ataques requieren que los operadores solucionen el problema localmente y se vuelvan a conectar a los sistemas principales, y son mucho menos catastróficos que un colapso del sistema, en el que un error cae en cascada a través del sistema «masivo» y podría provocar la caída de la red eléctrica de un país entero.

«Estos ataques lograron provocar apagones locales, pero hasta ahora no ha habido un colapso en todo el sistema. Un ataque que pueda colapsar la red será mucho más peligroso ya que todo el país se quedaría sin electricidad durante varios días». dijo Cárdenas.

Creando un sandbox para estudiar

Los investigadores de la UCSC no son los únicos en estudiar los dos ataques, pero el equipo de Cárdenas descubrió que los libros blancos de la industria no proporcionaban respuestas satisfactorias sobre cómo operaban e interactuaban los detalles del malware con el equipo que controlaba la infraestructura. Su informe es el primero en detallar exactamente cómo interactuó el malware con el mundo físico.

Cárdenas pudo obtener copias del malware, lo que permitió a los investigadores crear un entorno de pruebas, un entorno de software que engañaba al malware haciéndole creer que estaba dentro del entorno industrial específico de la red eléctrica de Ucrania para que los investigadores pudieran entender exactamente cómo interactuaba. con el sistema. Emularon la sala de control de un operador de red eléctrica con conexiones remotas a subestaciones, así como una red de subestaciones con conexiones locales a equipos eléctricos. Su Sandbox está disponible abiertamente.e para que lo utilicen otros investigadores.

Utilizando el sandbox, los investigadores encontraron similitudes entre los ataques, pero observaron una clara evolución en el malware.

Ambos ataques de Industroyer fueron completamente automatizados, lo que significa que una vez que se implementaron no hubo participación humana y violaron áreas de la red eléctrica que estaban diseñadas para desconectarse de Internet para brindarles mayor seguridad. Ambos ataques comprometieron una computadora con Windows en una subestación o sala de control para manipular el estado de los disyuntores de la red.

Industroyer One actuaba como una navaja suiza, ya que podía atacar tanto sistemas antiguos que operaban con líneas serie como sistemas modernos que operaban con sistemas de comunicación modernos. Fue desarrollado sin un objetivo específico y podía atacar directamente desde una subestación de red o desde el centro de control a cientos de kilómetros de distancia. Esperaba que los archivos de configuración del propio sistema guiaran su ataque. Sin embargo, estas características no significan que estuviera libre de defectos.

«Tenía flexibilidad para atacar desde todas partes, pero también descubrimos que tenía muchos errores», dijo Cárdenas. «Hubo varios errores de implementación que no seguían el protocolo. Tal vez fue [meant to be] muy específico, pero probamos con varios tipos diferentes de equipos y funcionó con algunos y no con otros debido a los errores».

Industroyer Two, por otro lado, era muy específico, con sus objetivos integrados en el propio malware, eliminando la necesidad de leer archivos de configuración. Los investigadores pudieron ver que apuntaba a tres direcciones IP que se coordinaban con dispositivos específicos, presumiblemente para controlar disyuntores en subestaciones específicas. Se eliminaron los errores que estaban presentes en Industroyer One.

«Tal vez fue porque con el tiempo tuvieron tiempo de pulir el malware para deshacerse de los errores, pero también sabían mejor lo que buscaban», dijo Cárdenas.

Al observar cómo los ataques de Industoyer se dirigieron a un número variado de disyuntores, los investigadores descubrieron que diferentes tipos de ataques de desconexión pueden tener diferentes resultados en la red eléctrica. Descubrieron que, contraintuitivamente, apagar todos los disyuntores a la vez no causa estos grandes problemas, ya que desconectar la carga y la generación al mismo tiempo equilibra el sistema. Los ataques más estratégicos podrían tener como objetivo crear desequilibrios, lo que puede causar problemas mayores al sistema masivo.

Planificación de la defensa futura

En general, esta evolución observada en los ataques de Industroyer muestra que los ataques de malware se están volviendo más sigilosos. Si bien ambos ataques se dirigieron a computadoras alojadas dentro de los centros de control, los investigadores creen que los futuros atacantes podrían intentar controlar «dispositivos electrónicos inteligentes» (IED) integrados dentro de los propios sistemas. Si bien no hay ningún malware dirigido a estos por ahora, podrían ser objetivos atractivos en el futuro, ya que los piratas informáticos podrían enviarles comandos maliciosos mientras les piden que informen a los operadores humanos de que todo está funcionando correctamente.

Si bien los ataques de Industroyer ocurrieron geográficamente lejos de los Estados Unidos, la distancia no garantiza la seguridad.

«Los ataques podrían ocurrir aquí, o prácticamente en cualquier parte del mundo», dijo Cárdenas. «Ahora todos los sistemas están controlados por computadoras y tienen prácticamente la misma tecnología».

Con esto en mente, los investigadores están trabajando para configurar su sandbox en lo que se llama un «honeypot», un tipo de software señuelo que pretende ser un sistema en funcionamiento en la red operativa de una empresa de servicios públicos. Los operadores del sistema saben que no deben usar este señuelo, por lo que si ven actividad en el honeypot sabrán que proviene de un atacante externo, lo que los alertará sobre el ataque.

Los investigadores están diseñando su honeypot para que sea lo suficientemente genérico como para funcionar en varios sistemas de control, como refinerías de petróleo o sistemas de tratamiento de agua, además de funcionar en redes eléctricas.

También planean facilitar la incorporación de asistentes de IA en las redes operativas, lo que ayudaría a decodificar y responder a los ataques en tiempo real cuando ocurran.

Los colaboradores de este proyecto incluyeron al Ph.D. los estudiantes Luis Salazar, Sebastián Castro, Juan Lozano y Keerthi Koneru, así como Emmanuele Zambon de la Universidad Tecnológica de Eindhoven, Bing Huang y Ross Baldick de la Universidad de Texas en Austin, Marina Krotofil de Information Systems Security Partners y Alonso Rojas. en el Grupo Axón.