29 may. 2019

DARPA usa una isla remota para organizar un ciberataque en la red eléctrica de EE.UU.

Se escuchó el sonido de interruptores automáticos en las siete subestaciones de baja tensión de la red, y luego, la estación se sumió en la oscuridad. Era el peor escenario posible: las redes del país ya habían estado desconectadas durante un mes, agotando los respaldos de la batería en las centrales eléctricas y subestaciones por igual.
¿Qué harías si estuvieras en ese centro de comando de utilidades? ¿Subes todo de una vez? ¿Subes partes más pequeñas de la cuadrícula y las colocas en un entorno protegido para ejecutar ciberforenses y, por lo tanto, evitas que se propague el malware que se utilizó en el ataque?
Esos son los tipos de preguntas que normalmente se limitan a una configuración de laboratorio. Pero a principios de este mes (Nov. 2018), en una pequeña isla a 1.5 millas de la costa de Long Island, la Agencia de Proyectos de Investigación Avanzada de la Defensa (DARPA, por sus siglas en inglés) dio vida al escenario temido.

Plum Island, con 840 acres, es casi del mismo tamaño que Central Park, en Manhattan, se llama oficialmente Centro de Enfermedades de Plum Island. Actualmente administrado por el Departamento de Seguridad Nacional (DHS), la instalación federal comprende 70 edificios, en su mayoría decrépitos.

La isla tiene su propio departamento de bomberos, planta de energía, planta de tratamiento de agua y seguridad. El centro fue creado originalmente en 1954, en respuesta a los brotes de fiebre aftosa en el ganado. El DHS tomó el control de Plum Island en 2003, debido al papel fundamental del centro de investigación en la protección del ganado de la nación contra las enfermedades infecciosas de los animales.

Es una mezcla de infraestructura industrial y superficie aislada, sin abrir, barrida por el viento, sin desarrollar, con vistas incomparables, como lo describió el gobierno en su lista de ventas cuando intentó descargar la propiedad.

Hace unos días, la base militar más grande de EE.UU. y del mundo se disculpó por haber inquietado a los ciudadanos con un simulacro de ciberataque. En resumen, no se puede pedir un lugar mejor para organizar un ataque en la red eléctrica, según Stan Pietrowicz, investigador de Perspecta Labs que está trabajando en una herramienta de análisis de redes y detección de amenazas que se puede usar en las llamadas Situaciones de "arranque en negro", cuando se debe restaurar la energía a una red muerta. Wired lo cita:
Teníamos 18 subestaciones, dos servicios públicos, dos centros de comando, y teníamos dos fuentes de generación con las que teníamos que activar una ruta de arranque y sincronizar. Tenía un realismo que realmente no encuentras en los entornos de laboratorio que te hicieron replantearte el enfoque.
Una ruta de arranque es una parte del sistema eléctrico que se puede aislar y luego energizar para entregar energía eléctrica desde una fuente de generación para permitir el arranque de otras unidades generadoras.

El ejercicio de una semana, denominado "Liberty Eclipse", fue diseñado para lanzar todo lo imaginable a un grupo de proyectos de investigación financiados por DARPA conocidos como Sistemas de Detección, Aislamiento y Caracterización de Ataque Rápido (RADICS). El objetivo del programa RADICS de tres años de edad es garantizar que las empresas de servicios públicos de EE. UU. Puedan recuperarse de un apagón provocado por un ataque cibernético.

Y el objetivo del proyecto Liberty Eclipse era descubrir brechas en las defensas RADICS en condiciones extremas y de inicio negro, en las que un ataque cibernético hace que la red eléctrica caiga de rodillas y obliga a los operadores a comenzar desde cero.

Walter Weiss, gerente de programas para el ejercicio, dijo a los reporteros que nadie había hecho esto antes.

Como lo describe EE News , un medio de noticias centrado en la energía y el medio ambiente, esto no fue solo una simple puesta en escena de un ataque cibernético. Los planificadores del proyecto lanzaron una variedad de llaves en la mezcla, incluyendo un ataque constante de ataques cibernéticos y físicos simulados. Por ejemplo, en un momento dado, introdujeron un "limpiador" de datos, modelado en casos reales de ransomware, que podrían enviar a los operadores de la cuadrícula de nuevo al cuadrado si no tuvieran cuidado.

Según Wired, el clima de Plum Island también jugó un papel importante. Los días de lluvia y los fuertes vientos dificultaron tomar el ferry de ida y vuelta a la isla y dificultaron el trabajo físico en la red. Las condiciones también mostraron las limitaciones de una de las herramientas de recuperación que se están desarrollando para inspeccionar la red desde arriba: globos con detectores de radiación electromagnética livianos que podrían lanzarse durante un apagón para buscar indicadores simples de energía en vivo, como puntos de acceso Wi-Fi de Enrutadores domésticos y señales electromagnéticas que podrían mostrar dónde fluyen realmente los electrones.

Los globos no pudieron cortarlo, y los piratas informáticos del equipo rojo que ejecutan los ataques nunca se detuvieron mientras los sensores nacidos del globo estaban siendo golpeados. Wired:
Un día, los investigadores recibieron instrucciones de empacar bolsas de viaje en caso de que no pudieran regresar de la isla hasta la mañana siguiente. Los globos no eran confiables en el mal tiempo, así que algunos de los investigadores intentaron volar los sensores en una cometa. Eso resultó poco práctico con los vientos. Y todo el tiempo, el llamado equipo rojo siguió hackeando.
Según Weiss, DARPA está trabajando en un informe público posterior a la acción que cubrirá cualquier debilidad importante que se encuentre en el programa RADICS y planeará los próximos pasos. El Departamento de Energía (DOE, por sus siglas en inglés) también está elaborando su propio conjunto de conclusiones: según EE News, completó un ejercicio de mesa relacionado el mes pasado y se unió al ejercicio en Plum Island. Otros que viajaron a la isla incluyeron docenas de representantes de las principales empresas de servicios públicos y grupos de la industria.

Los ciberataques exitosos son reales

Los escenarios reales de redes eléctricas paralizadas por piratas informáticos no son puramente hipotéticos: la red eléctrica ucraniana fue atacada en diciembre de 2015, afectando a 20 subestaciones y dejando a unas 230.000 personas sin electricidad durante horas.

El Instituto SANS categorizó la interrupción como un ataque cibernético coordinado. El malware no causó directamente la interrupción del servicio, dijo SANS, pero dio a los atacantes un punto de apoyo en el comando y control de la cuadrícula, y el malware también se usó para impedir la recuperación.

La red eléctrica ucraniana fue atacada nuevamente en diciembre de 2016 , cuando las unidades terminales remotas (RTU) que controlan los disyuntores en la subestación eléctrica de Ukrenergo en Pivnichna, cerca de Kiev, se apagaron repentinamente.

Los dos ataques tuvieron sorprendentes similitudes, incluido el mismo malware BlackEnergy 3, iniciado por archivos adjuntos maliciosos de phishing que, según informes, se habían acumulado en organizaciones estatales durante meses.

Lo que fue particularmente preocupante en el caso de los cortes en Ucrania fue la posibilidad de que los atacantes pudieran haber estado usando a Ucrania como un campo de juego tanto como un campo de batalla: después de todo, los expertos señalaron que el país usa el mismo equipo y la misma protección de seguridad. Vendedores como todos los demás alrededor del mundo.

Marina Krotofil, investigadora del Laboratorio de Ciberseguridad Industrial de Honeywell que trabajó en la investigación:
Si los atacantes aprenden a utilizar esas herramientas y dispositivos en las infraestructuras ucranianas, pueden ir directamente al oeste.
El hecho de que ya se hayan llevado a cabo ataques exitosos hace que la prueba de los ataques en entornos del mundo real sea vital: provocar el viento, la lluvia y la oscuridad, y luego quitar los sensores que permiten a los operadores descubrir qué demonios está ocurriendo. Pietrowicz:
La mayor parte del ejercicio consistió realmente en tratar de averiguar qué estaba sucediendo y lidiar con las condiciones. No fue un golpe y una carrera – mientras estábamos limpiando las cosas, el adversario estaba contrarrestando nuestros movimientos. Hubo un caso en el tercer día del ejercicio en el que casi teníamos el camino de manivela completamente establecido y el atacante sacó una de nuestras subestaciones clave. Fue una especie de decepción y tuvimos que seguir y descubrir nuestro próximo camino viable. Incluso esa pequeña victoria nos fue quitada.
Los participantes en dos equipos, cada uno de los cuales estaba luchando para iniciar una cuadrícula etiquetada como de alta prioridad, tuvieron éxito en el arranque negro de las cuadrículas. En general, misión cumplida. Pero los participantes dijeron que las verdaderas ideas no provienen de los éxitos. Más bien, fueron los reveses en el camino los que dieron las ideas más valiosas.

DARPA planea ejecutar otra versión, incluso más sofisticada, del ejercicio en Plum Island en mayo (2019), y posiblemente más de lo mismo vendrá después de eso. Weiss, de RADICS, dijo a los reporteros que espera que, en última instancia, el DOE se haga cargo de los ejercicios y los incorpore a la capacitación de preparación para trabajadores y servicios públicos del gobierno.

Fuente: Naked Security

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!