Industroyer, un malware que “enseña a hablar” a los protocolos

Win32/Industroyer malware avanzado

El pasado lunes, dos compañías de seguridad cibernética – el equipo de software anti-virus ESET, con sede en Eslovaquia, y la estadounidense Dragos, que se ocupa de la seguridad de las infraestructuras críticas- comunicaron la identificación del malware que causó el perturbador corte de energía por una hora en Kiev (Ucrania) el 17 de  diciembre de 2016.  Se trata de Industroyer, pero esta vez se trata de una versión de malware mucho más avanzada que la utilizada en Ucrania.

Aquel corte de energía, atribuido en principio a un “fallo eléctrico de cierta envergadura”, constituyó una severa advertencia sobre las capacidades de unos autores decididos a llevar el caos a cualquier comunidad, eliminando sus infraestructuras críticas. Además puede reutilizarse con poco esfuerzo por otros grupos decididos y con profundos conocimientos TIC para generar más estragos en todo el mundo, apuntando no sólo a las operaciones de suministro de energía sino también a los sistemas de agua, gas y redes de transporte. En su momento el diario estadounidense “The Daily Beast” manifestó que este ataque podría ser la primera acción de ciberguerra que logra atacar con éxito el sistema energético de un país.

ESET por su parte ha recordado que hace ya varios meses viene analizando las muestras de este malware avanzado catalogado como Win32/Industroyer y que recientemente compartió sus datos con Dragos, concluyendo que el programa malicioso es el mismo que se utilizó en el incidente de Ucrania en 2016.

Anton Cherepanov, investigador senior sobre malware en ESET
Anton Cherepanov, investigador senior sobre malware en ESET y autor del informe “WIN32/Industroyer a new threat for industrial control systems”

Los ataques sufridos en Ucrania hace unos meses deberían servir como una llamada de atención para todos los responsables de la seguridad de infraestructuras críticas en todo el mundo”, advierte Anton Cherepanov, investigador senior sobre malware en ESET y autor del informe “WIN32/Industroyer a new threat for industrial control systems”, con el que ha dado una nueva visión del ataque cibernético.

Una amenaza particularmente peligrosa

Los investigadores de ESET descubrieron que Industroyer es capaz de controlar directamente los conmutadores y los interruptores de las subestaciones eléctricas, aprovechando los protocolos de comunicación industrial utilizados en todo el mundo en infraestructuras críticas relacionadas con el sector de la energía. El impacto potencial de las acciones de este malware va desde un apagón eléctrico con los fallos en cascada de diferentes sistemas que puede suponer, hasta daños más graves en ciertos equipos.

Según el Blog WELIVESECURITY de ESET,  estamos ante una amenaza particularmente peligrosa, capaz de controlar los interruptores de una subestación eléctrica directamente. Para ello utiliza protocolos de comunicación industrial implementados mundialmente en infraestructuras de suministro de energía eléctrica, sistemas de control de transporte y otros sistemas de infraestructura crítica, como agua y gas. Estos conmutadores (o switches) y disyuntores son equivalentes digitales a los conmutadores analógicos; técnicamente pueden ser diseñados para realizar varias funciones.

Por lo tanto, el impacto potencial puede ir desde la desactivación de la distribución de energía hasta fallos en cascada y daños más graves al equipo; la gravedad también puede variar de una subestación a otra. Naturalmente, la interrupción de tales sistemas puede afectar directa o indirectamente el funcionamiento de servicios vitales. Es altamente personalizable y puede ser usado para atacar cualquier sistema de control industrial.

Industroyer malware capaz de controlar directamente los conmutadores y los interruptores de las subestaciones eléctricas

Ahora bien, la peligrosidad de Industroyer radica en el hecho de que utiliza los protocolos de la manera en que fueron diseñados para ser usados. El problema es que se crearon hace décadas, y en ese entonces la intención era que los sistemas industriales estuvieran aislados del mundo exterior. Como consecuencia, su comunicación no fue diseñada con la seguridad en mente. Esto significa que los atacantes no necesitaban buscar vulnerabilidades en los protocolos; todo lo que necesitaban era enseñarle al malware a “hablar” esos protocolos.

En opinión de Anton Cherepanov, analista con profundo conocimiento del funcionamiento de los sistemas de control industrial, Industroyer es un malware modular. Su componente central es un backdoor usado por los atacantes para gestionar el ataque; instala y controla los otros componentes y se conecta a un servidor remoto para recibir comandos y reportar a los criminales.

Lo que distingue a Industroyer de otros malware que tienen como blanco a la infraestructura es su uso de cuatro componentes maliciosos (payloads), que están diseñados para obtener el control directo de interruptores y disyuntores en una subestación de distribución de electricidad. Cada uno de ellos apunta a protocolos de comunicación particulares, especificados en los siguientes estándares: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 y OLE para Process Control Data Access (OPC DA).

Generalmente, los payloads trabajan en etapas cuyos objetivos son mapear la red, y luego encontrar y emitir los comandos que funcionarán con los dispositivos específicos a atacar. Su disposición muestra el profundo conocimiento que tiene el autor del malware sobre el funcionamiento de los sistemas de control industrial.

El malware contiene algunas funcionalidades adicionales que están diseñadas para permitirle quedarse fuera del radar, para asegurarse la persistencia y para borrar todos los rastros de sí mismo una vez que finalizó su trabajo.

Lo que distingue a Industroyer de otros malware que tienen como blanco a la infraestructura es su uso de cuatro componentes maliciosos (payloads)

Su módulo de borrado está diseñado para eliminar claves de registro cruciales para el sistema y sobrescribir archivos, de manera que el sistema no pueda iniciar y se dificulte la recuperación. Es interesante el escáner de puertos que mapea la red, tratando de encontrar computadoras relevantes: los atacantes hicieron su propia herramienta personalizada en vez de usar software existente.

Conclusión

Industroyer es un malware altamente personalizable. Si bien es universal, ya que puede ser usado para atacar cualquier sistema de control industrial usando algunos de los protocolos de comunicación de la lista de objetivos, algunos de los componentes de las muestras analizadas estaban diseñados para apuntar a un tipo particular de hardware.

Por ejemplo, el componente de borrado y uno de los payloads están modificados para ser usados contra sistemas que incorporan determinados productos industriales de control de energía de ABB, y el componente DoS funciona específicamente contra dispositivos Siemens SIPROTEC usados en subestaciones eléctricas y otros campos de aplicación relacionados.

Gracias a su habilidad de persistir en el sistema y proveer información valiosa para refinar los payloads personalizables, los atacantes podrían adaptar el malware a cualquier entorno, lo que lo vuelve extremadamente peligroso. Más allá de si el reciente ataque a la red eléctrica de Ucrania fue una prueba o no, debería servir como llamado de atención para los responsables de la seguridad en sistemas críticos de todo el mundo.

En opinión de Trevor Mogg, analista de tendencias de “Computing”, “El trabajo de Eset y Dragos pone de relieve la necesidad de que los gobiernos de todo el mundo refuercen sus defensas contra los ciberataques altamente dañinos capaces de causar una interrupción generalizada de la infraestructura crítica. En lugar de obtener ganancias monetarias, a menudo se cree que estos actos de ciberguerra están respaldados por Estados nacionales, ya que tienen el potencial de causar el caos dentro de la sociedad y reducir la confianza de una población en su propio gobierno”.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.