Guerrillas OT, la amenaza que dejó sin energía a Ucrania y sin combustible a EEUU
Los cibercriminales han perfeccionado sus técnicas y ya no solo apuntan a los sistemas informáticos, sino también a las operaciones industriales estratégicas.
La guerra nunca cambia. A pesar de ello, la de Ucrania y Rusia ha dejado ver algunas técnicas utilizadas para desestabilizar al enemigo, como el uso de drones contra soldados y civiles, así como ataques cibernéticos contra infraestructuras críticas.
Imagina por un momento todo lo que has conectado en casa, desde el televisor hasta las bombillas o los altavoces inteligentes. Todos estos aparatos forman parte de tecnologías de la información (TI), dedicada a gestionar datos y sistemas informáticos.
Un ciberataque a estos terminales podría provocar la fuga de información y el robo de tus datos personales más sensibles. En entornos industriales, esto se agrava aún más, debido a que suelen controlar recursos estratégicos.
Esto es lo que se conoce como tecnología operativa (OT) y, durante los últimos años, se ha integrado con diferentes sistemas informáticos, los cuales pueden ser puertas de entrada para actores maliciosos.
Puede que un ciberataque de este tipo no tenga repercusión alguna, aunque al guardar relación con sectores como la gestión del agua, la energía nuclear o la electricidad, podrían poner en peligro la continuidad del servicio y, con ello, llevar a una crisis sin precedentes.
Desafortunadamente, los conflictos geopolíticos actuales han llevado a que grupos de cibercriminales apunten directamente a servicios de este tipo como su objetivo principal, con ejemplos muy recientes en Ucrania y Estados Unidos.
El apagón energético de Ucrania
A finales de 2015, numerosas compañías de energía ucranianas sufrieron cortes no programados a lo largo de todo el país. Según confirmaría la Agencia de Ciberseguridad y Seguridad de Infraestrcturas (CISA) de Estados Unidos años más tarde, se trataba de hackers patrocinados por el Estado de Rusia.
Los cibercriminales pudieron colar un malware en diferentes infraestructuras críticas, además de otro conocido como BlackEnergy en compañías relacionadas con la informática; es decir, que pasaron del ámbito IT al OT para lograr sus objetivos.
Aproximadamente, según los datos técnicos del informe, se concluyó que había afectado a 225.000 usuarios que perdieron la energía. Incluso cuando se restableció la electricidad, el malware continuó latente y activo en diferentes operaciones.
En cualquier entorno industrial, existen lo que se llaman sistemas de control industrial –ICS, por sus siglas en inglés–, que aglutinan diferentes dispositivos, como las interfaces máquinas-humano (HMI), así como los sistemas de alimentación ininterrumpida (SAI).
Todos estos permiten la monitorización del entorno industrial, además de la continuidad del negocio y las operaciones, con el objetivo de gestionar y solucionar fácilmente las interrupciones o posibles ciberataques, algo cada vez más habitual.
En el caso del ataque a Ucrania, los hackers comprometieron las HMI basadas en Windows, mediante herramientas de escalado de privilegios y, adicionalmente, control remoto de las operaciones. Básicamente, consiguieron permisos de administración para el acceso remoto.
Como es lógico, el objetivo era paralizar y eliminar datos sin motivaciones económicas, por lo que también ejecutaron el malware KillDisk al finalizar el ciberataque, encargado de eliminar archivos concretos para que la actividad no pudiera continuar.
Desafortunadamente, lejos de un contexto de guerra más allá de la cibernética, Ucrania no ha sido el único objetivo de este tipo de ataques.
Un golpe a los oleoductos de Estados Unidos
En octubre de 2020, CISA aseguró que había logrado frenar un ciberataque que había afectado a una compañía de gas natural del país –sin mencionar ningún nombre concreto– que, sorprendentemente, no contaba con un plan de gestión de incidentes de este tipo.
En este caso, debido a una mala segmentación de redes entre IT y OT, sin haber creado las conocidas como zonas desmilitarizadas (DMZ), para prevenir el acceso a importantes segmentos. De nuevo, las HMI se vieron afectadas y, durante 48 horas, las operaciones fueron interrumpidas.
Por supuesto, con las consiguientes pérdidas económicas y de productividad, a pesar de que no fueron afectados los controladores lógicos programables (PLC), un dispositivo que se encarga de controlar las operaciones industriales.
Tan solo un año más tarde, gracias al RaaS –ransomware como servicio, por su traducción al español– DarkSide, un grupo de cibercriminales con motivaciones económicas logró secuestrar más de 100 gigabytes de datos de Colonial Pipeline.
Esta compañía transporta casi la mitad del combustible para aviones en la costa este de Estados Unidos, y el apagón produjo el incremento de los precios, así como importantes pérdidas económicas para el oleoducto.
Con el perfeccionamiento del RaaS o las técnicas de phishing gracias a la inteligencia artificial, estos ataques podrían suponer un futuro negro para la ciberseguridad en entornos de operaciones industriales. Si todo se para, la crisis sería más que evidente.