15 jun 2017

CrashOverride o Industroyer: responsable del apagón eléctrico en Ucrania

Analistas de la firma de seguridad ESET y Dragos identificaron un malware, apodado Industroyer [PDF] o CrashOverride, que puede afectar la infraestructura de los sistemas de energía, transporte, agua y gas de todo el mundo.

Dos firmas de ciberseguridad revelaron que existe un poderoso programa malicioso capaz de detener el funcionamiento de los sistemas de distribución de electricidad y otras infraestructuras claves.

ESET dijo que este software es la amenaza más poderosa desarrollada desde el descubrimiento de Stuxnet, la herramienta de hacking utilizada para sabotear el programa nuclear de Irán que se creía que estaban desarrollando los servicios de inteligencia de Estados Unidos e Israel.

ESET dijo que este programa, apodado Industroyer, podría estar detrás del apagón de una hora y media que sufrió la capital ucraniana, Kiev, el pasado mes de diciembre. La compañía señalo que el poder de la amenaza de Industroyer radica en que funciona utilizando protocolos de comunicación diseñados hace décadas e incorporados en sistemas de energía, transporte, agua y gas de todo el mundo.
Utilizando uno de esos protocolos, débilmente protegidos, Industroyer puede tomar directamente el control de los interruptores de subestaciones eléctricas y de circuitos, lo que da a los hackers la posibilidad de cortar la distribución de energía y dañar los equipos.

Este malware es la "mayor amenaza a los sistemas de control industrial desde Stuxnet", estimó ESET sin indicar quién estaba detrás. Sin embargo, en un informe separado divulgado este lunes sobre el mismo programa malicioso, una segunda compañía de seguridad, Dragos, lo vinculó con un grupo ruso de hackers llamado Sandworm que ha sido relacionado con el gobierno ruso.

Dragos ha apodado a este virus CrashOverride y considera también que se trata del segundo malware desplegado para interrumpir procesos físicos industriales después de Stuxnet.

"CrashOverride no es específico de un comerciante o de una configuración, en su lugar hace uso de operaciones de redes eléctricas y comunicaciones en red para causar impacto", dijo Dragos.

La empresa añadió que el malware podría usarse en varias subestaciones eléctricas al mismo tiempo pudiendo crear un extenso apagón que podría permanecer horas e incluso días.

Industroyer es una amenaza particularmente peligrosa, dado que es capaz de controlar los interruptores de una subestación eléctrica directamente. Para hacerlo, utiliza protocolos de comunicación industrial implementados mundialmente en infraestructuras de suministro de energía eléctrica, sistemas de control de transporte y otros sistemas de infraestructura crítica, como agua y gas.

"Este malware es altamente personalizable. Si bien es universal, ya que puede ser usado para atacar cualquier sistema de control industrial usando algunos de los protocolos de comunicación de la lista de objetivos, algunos de los componentes de las muestras analizadas estaban diseñados para apuntar a un tipo particular de hardware", asegura Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Estos interruptores (o switches) son equivalentes digitales a los conmutadores analógicos; técnicamente pueden ser diseñados para realizar varias funciones. Por lo tanto, el impacto potencial puede ir desde simplemente desactivar la distribución de energía hasta fallas en cascada y daños al equipo. La gravedad del mismo también puede variar de una subestación a otra.

La peligrosidad del malware Industroyer radica en el hecho de que usa los protocolos de la manera en que fueron diseñados para ser usados: "El problema es que los protocolos se crearon hace décadas, y en ese entonces la intención era que los sistemas industriales estuvieran aislados del mundo exterior. Como consecuencia, su comunicación no fue diseñada con la seguridad en mente. Esto significa que los atacantes no necesitaban buscar vulnerabilidades en los protocolos; todo lo que necesitaban era enseñarle al malware a 'hablar' esos protocolos", mencionó Gutierrez Amaya.

El corte de energía más reciente ocurrió el 17 de diciembre de 2016, casi exactamente un año después del apagón que afectó a cerca de 250.000 hogares en varias regiones de Ucrania, el 23 de diciembre de 2015. En aquella ocasión, los atacantes se infiltraron en las redes de distribución eléctrica con el malware BlackEnergy, junto con KillDisk y otros componentes, y luego abusaron de software legítimo de acceso remoto para controlar las estaciones de trabajo de los operadores y cortar el suministro.

Industroyer es un malware modular. Su componente central es un backdoor usado por los atacantes para gestionar el ataque; instala y controla los otros componentes y se conecta a un servidor remoto para recibir comandos y reportar a los criminales.

Hay más detalles del análisis técnico de este malware y los Indicadores de Sistemas Comprometidos (IoC) en el whitepaper de ESET (en inglés) y en GitHub.

Fuente: La Nación

Suscríbete a nuestro Boletín

1 comentario:

  1. Entonces este malware provoca el conocido blackout... me recuerda a que ... que pasaria si llegase a usarse en un smart phone... como ejemplo ficticio --> https://youtu.be/Mz3868pMxWE?t=6m22s

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!