Los expertos de la industria han estado diciendo durante años que los piratas informáticos podrían apuntar a la infraestructura crítica, incluido el transporte, el control industrial y los sistemas de energía. Pero con un ataque reciente a una red eléctrica ucraniana, un grupo de hackers rusos nos ha movido del reino de "poder" a "poder". Aquí hay todo lo que necesita saber sobre el ataque.
¿Qué sucedió en Ucrania?
El 23 de diciembre, se produjeron apagones en la región ucraniana de Ivano-Frankivsk, dejando sin electricidad a la mitad de los 1, 4 millones de habitantes de la región. Los detalles del ataque todavía se están resolviendo, pero parece que un grupo de piratas informáticos rusos lanzó un ataque coordinado en varias partes contra varios centros regionales de distribución de energía en la región.
Además de atacar los centros de distribución directamente, los atacantes también se enfocaron en los sistemas telefónicos, impidiendo que los clientes informaran los cortes de energía, y usaron medidas para que sea más difícil para los técnicos descubrir la interrupción.
Según ESET, los piratas informáticos usaron una pieza de malware Virus, Spyware, Malware, etc. Explicación: Entender las amenazas en línea Virus, spyware, malware, etc. Explicación: comprender las amenazas en línea Cuando comienzas a pensar en todas las cosas que podrían salir mal cuando navegas por Internet, la web comienza a verse como un lugar bastante aterrador. Read More llamó a BlackEnergy para infectar computadoras en la red eléctrica, y otra herramienta llamada KillDisk para deshabilitarlas. KillDisk es muy destructivo: puede limpiar partes de un disco duro infectado 5 Herramientas para eliminar permanentemente datos confidenciales de tu disco duro [Windows] 5 Herramientas para eliminar permanentemente datos confidenciales de tu disco duro [Windows] En un artículo reciente expliqué por qué es imposible recuperar datos de un disco duro después de sobrescribirlo. En esa publicación, mencioné que simplemente eliminando archivos o formateando tu disco rígido normalmente ... Leer más, sobreescríbalos, y hace que sea mucho más difícil restaurar los datos. Esta versión de KillDisk también se personalizó para dirigirse específicamente a sistemas industriales.
También se incluyó en el ataque una puerta trasera SSH segura. Lo que SSH es y cómo es diferente del FTP [Explicación de la tecnología] Qué es SSH y cómo es diferente de FTP [Explicación de la tecnología] Leer más, permitiendo a los piratas informáticos el acceso completo a los sistemas infectados. Si el propio malware fue responsable del cierre de la red o si los hackers usaron esta puerta trasera para acceder a los controles no está clara de inmediato. Esto podría ser una distinción importante, ya que el malware utilizado en el ataque podría ser la causa del cierre o simplemente el habilitador.
BlackEnergy ha sido utilizado en una serie de ataques contra objetivos ucranianos en el último año, incluido un ataque contra compañías de medios ucranianas en el período previo a las elecciones ucranianas. Rusia y Ucrania se han involucrado en una guerra cibernética en curso, con ambas partes lanzando numerosos ataques, desde ciberespionaje y monitoreo de cámaras CCTV hasta ataques DDoS. ¿Qué es un ataque DDoS? [MakeUseOf Explains] ¿Qué es un ataque DDoS? [MakeUseOf Explains] El término DDoS silba cuando el ciberactivismo se agita en masa. Este tipo de ataques son noticia internacional por múltiples razones. Los problemas que impulsan esos ataques DDoS a menudo son controvertidos o altamente ... Leer más y congelar fondos en cuentas de PayPal.
¿Cómo se infectaron las compañías eléctricas?
ESET informa que el malware se entregó a través de macros infectadas en documentos de Microsoft Office Cómo protegerse del malware de Microsoft Word Cómo protegerse del malware de Microsoft Word ¿Sabía que su computadora puede estar infectada con documentos maliciosos de Microsoft Office o que podría estar infectada? engañado en habilitar la configuración que necesitan para infectar su computadora? Lea más, un método que está ganando algo de popularidad. Los empleados de las compañías eléctricas recibieron correos electrónicos que parecían provenir del parlamento ucraniano. Una práctica llamada spear-phishing. Cómo detectar un adjunto de correo electrónico peligroso. Cómo detectar correos electrónicos peligrosos. Los correos electrónicos pueden ser peligrosos. Leer los contenidos de un correo electrónico debería ser seguro si tiene los últimos parches de seguridad, pero los archivos adjuntos pueden ser dañinos. Busque las señales de advertencia comunes. Leer más - y los documentos adjuntos a esos correos electrónicos animaron a los usuarios a ejecutar las macros, infectando así sus computadoras.
El malware utilizado en el ataque se encontró en las computadoras de varias compañías eléctricas a principios de año, lo que indica que este truco probablemente se planificó con mucha antelación, una idea corroborada por la complejidad del ataque en múltiples sistemas. Es posible que la intención original fuera bloquear todo el país.
El ataque es una reminiscencia de uno que se usó contra los oficiales de la OTAN y Ucrania en 2014; este aprovechó un exploit de día cero ¿Qué es una vulnerabilidad de día cero? [MakeUseOf Explains] ¿Qué es una vulnerabilidad de día cero? [MakeUseOf Explains] Lea más en Microsoft Windows. El grupo usó este exploit para espiar a los oficiales de la OTAN y Ucrania, y el descubrimiento del hack fue la primera vez que Sandworm apareció en las noticias.
¿Quién o qué es Sandworm?
Sandworm es el nombre del grupo de hackers 4 Top Hacker Groups y lo que quieren 4 Top Hacker Groups y lo que quieren Es fácil pensar en grupos de hackers como en algún tipo de revolucionarios románticos en la trastienda. ¿Pero quiénes son realmente? ¿Qué representan y qué ataques han llevado a cabo en el pasado? Leer más ampliamente pensado que está detrás de este ataque. El malware BlackEnergy está fuertemente relacionado con este grupo, que esconde en su código referencias a la clásica novela de ciencia ficción Dune de Frank Herbert (Sandworm es una referencia a una criatura en la novela, que se ve debajo en la portada de Herejes de Dune ).
Debido a que sus objetivos han sido en gran parte oponentes de Rusia, ha habido algunas especulaciones sobre si pueden tener el respaldo del gobierno ruso, lo que hace que estos ataques sean un asunto aún más serio. Por supuesto, asignar la culpa de estos ataques es muy complicado; por el momento, no estamos del todo seguros de que Sandworm esté detrás de los ataques, y mucho menos del Kremlin.
Sin embargo, los posibles vínculos con el gobierno ruso hacen que este sea un tema preocupante. Este es probablemente el primer ataque exitoso en una red eléctrica, lo que significa que Rusia está impulsando sus capacidades de guerra cibernética. Los Estados Unidos e Israel han demostrado habilidades similares con el gusano Stuxnet. ¿Podrían estas técnicas de ciberespionaje de la NSA ser utilizadas contra usted? ¿Podrían estas técnicas de ciberespionaje de la NSA ser usadas en su contra? Si la NSA puede rastrearlo, y sabemos que puede hacerlo, también lo pueden hacer los ciberdelincuentes. A continuación, le mostramos cómo las herramientas gubernamentales se usarán en su contra más adelante. Leer más que destruyó las centrífugas nucleares en Irán, pero enfocarse específicamente en una red eléctrica con este complejo ataque de múltiples fases es una historia diferente.
¿Estados Unidos está en riesgo?
La relación históricamente rocosa de Estados Unidos y Rusia tiene a mucha gente preguntándose si Estados Unidos está preparado para este tipo de ataque, y la respuesta general de "no" es preocupante. Por supuesto, con algunos de los mejores expertos en ciberseguridad del mundo trabajando para la NSA, tenemos algunas de las mejores defensas que existen, pero el hecho es que este es un ataque sin precedentes.
Además del evidente dominio de Rusia de la guerra cibernética, el hecho de que gran parte de nuestra infraestructura crítica está desactualizada, especialmente en lo que respecta a la ciberseguridad, también es muy preocupante. En 2014, Daniel Ross, CEO de la empresa de software de seguridad Promisec, le dijo a Forbes que los sistemas de infraestructura críticos están en riesgo porque "la mayoría de ellos tienen una versión muy vieja o potencialmente sin parche de Windows, debido a que no se eliminan con mucha frecuencia. "
La Oficina de Responsabilidad Gubernamental de EE. UU. También hizo declaraciones similares, con infraestructura cibernética y sistemas de información federales que hacen su lista de "alto riesgo" en 2015. En resumen, sí, los EE. UU. Probablemente estén en riesgo.
Sin un ataque cibernético devastador, parece poco probable que los legisladores estén dispuestos a dedicar la enorme cantidad de dinero que se necesitará para defender adecuadamente la infraestructura crítica de los EE. UU. Y los sistemas de información federales de los ataques a gran escala como el perpetrado en Ucrania. Solo podemos esperar que este evento sirva de ejemplo para quienes están a cargo de la ciberdefensa y los cataliza para tomar medidas más enérgicas sobre la seguridad de la infraestructura crítica.
Los Take-Aways
La guerra cibernética está avanzando rápidamente, y ahora se ha demostrado claramente la capacidad de apuntar específicamente a piezas de infraestructura crítica con un ataque de múltiples fases altamente planeado. No sabemos con certeza si Rusia estaba detrás de esto, pero parece que una pandilla de piratería rusa, posiblemente con el apoyo del gobierno ruso, fue la que originó el ataque. Y Estados Unidos no está preparado para defenderse contra tal ataque.
¿Qué viene después de las redes eléctricas? ¿Ataques en edificios o instalaciones específicos? Bases militares, tal vez? Hospitales? ¿Contratistas de defensa? Desafortunadamente, las posibilidades parecen casi ilimitadas, y todo lo que podemos hacer es esperar y ver. Cómo pueden avanzar Rusia, Ucrania y los EE. UU. Puede muy bien tener efectos significativos para la guerra cibernética mundial.
¿Este ataque a la red eléctrica de Ucrania te pone nervioso? ¿Siente que su país está suficientemente preocupado por la ciberseguridad? ¿O crees que esto será una llamada de atención alrededor del mundo? Comparte tus pensamientos a continuación!
Créditos de la imagen: TUBS a través de Wikimedia Commons (editado), Menna a través de Shutterstock.com, Kodda a través de Shutterstock.com, .