En una nueva escalada preocupante, los piratas informáticos detrás de al menos dos intrusiones potencialmente fatales en instalaciones industriales han ampliado sus actividades para investigar docenas de redes eléctricas en los EE. UU. y en otros lugares, informaron el viernes investigadores de la firma de seguridad Dragos.
El grupo, ahora denominado Xenotime por Dragos, ganó rápidamente la atención interMarketingdecontenido en 2023 cuando los investigadores de Dragos y la división Mandiant de la firma de seguridad FireEye informaron de forma independiente que Xenotime había provocado recientemente una peligrosa interrupción operativa en un sitio de infraestructura crítica en el Medio Oriente. Los investigadores de Dragos han calificado al grupo como la amenaza cibernética más peligrosa del mundo desde entonces.
Lo más alarmante de este ataque fue el uso de malware nunca antes visto que se dirigía a los procesos de seguridad de la instalación. Dichos sistemas instrumentados de seguridad son una combinación de hardware y software que muchos sitios de infraestructura crítica utilizan para evitar que surjan condiciones inseguras. Cuando las presiones del combustible gaseoso o las temperaturas del reactor aumentan a umbrales potencialmente inseguros, por ejemplo, un SIS cerrará automáticamente las válvulas o iniciará procesos de enfriamiento para evitar accidentes que pongan en peligro la salud o la vida.
En abril, FireEye informó que el malware de manipulación del SIS, conocido alternativamente como Triton y Trisis, se usó en un ataque a otra instalación industrial.
Proliferando en todos los sectores
Ahora, Dragos informa que Xenotime ha estado realizando escaneos de red y reconocimiento en múltiples componentes en las redes eléctricas en los EE. UU. y en otras regiones. Sergio Caltagirone, vicepresidente senior de inteligencia de amenazas de Dragos, le dijo a Ars que su empresa ha detectado docenas de servicios públicos, alrededor de 20 de ellos ubicados en los EE. UU., que han sido objeto de sondeos de Xenotime desde finales de 2023. no hay evidencia de que los servicios públicos se hayan visto comprometidos, dijo que, sin embargo, la expansión era preocupante.
“La amenaza ha proliferado y ahora se dirige a las empresas eléctricas de EE. UU. y Asia Pacífico, lo que significa que ya no estamos seguros pensando que la amenaza a nuestras empresas eléctricas se entiende o es estable”, dijo en una entrevista. “Esta es la primera señal de que las amenazas están proliferando en todos los sectores, lo que significa que ahora no podemos estar seguros de que una amenaza para un sector permanecerá en ese sector y no cruzará”.
Las sondas vienen en múltiples formas. Uno son los ataques de relleno de credenciales, que utilizan contraseñas robadas en infracciones anteriores, a veces no relacionadas, con la esperanza de que funcionen contra nuevos objetivos. Otro son los escaneos de red, que mapean y catalogan las diversas computadoras, enrutadores y otros dispositivos conectados a él y enumeran los puertos de red en los que reciben conexiones.
“La escala de la operación, el número objetivo y las regiones objetivo”, dijo Caltagirone, “muestra más que un interés pasajero en el sector”.
El primer ataque informado, que E&E News informó en marzo, tuvo como objetivo la refinería de petróleo de Arabia Saudita Petro Rabigh y una línea de productos SIS conocida como Triconex fabricada por Schneider Electric. Un análisis del malware Triton mostró que sus desarrolladores han realizado una extensa ingeniería inversa del producto. El SIS objetivo del ataque cerró las operaciones cuando experimentó un error que ocurrió cuando los piratas informáticos realizaban un reconocimiento en la instalación. Aunque los piratas informáticos probablemente buscaban la capacidad de causar daños físicos dentro de las instalaciones, el cierre de noviembre probablemente fue un accidente.
Se sabe menos sobre la intrusión de Xenotime en la segunda instalación crítica. Todavía no está claro, por ejemplo, si también apuntó a un Triconex SIS o si resultó en una interrupción o condiciones inseguras.
Hasta el momento nadie sabe con certeza quién es Xenotime. Las sospechas iniciales apuntaban a piratas informáticos que trabajaban en nombre de Irán. En octubre pasado, FireEye evaluó con gran confianza que Triton se desarrolló con la ayuda del Instituto Central de Investigación Científica de Química y Mecánica de Moscú. Rusia ha estado vinculada a otros ataques de infraestructura crítica, incluido uno en diciembre de 2023 contra las autoridades regionales de energía en Ucrania que dejó a cientos de miles de personas en la región de Ivano-Frankivsk de Ucrania sin electricidad. Ese ataque representó el primer corte de energía conocido causado por piratas informáticos. Y casi exactamente un año después, un segundo hackeo vinculado a Rusia volvió a tomar el poder en Ucrania.
Selecciona grupo
Quienquiera que esté detrás de Xenotime, la capacidad demostrada del grupo para causar destrucción física lo coloca en un grupo de actores de amenazas que hasta ahora se sabe que incluye solo a otros cuatro. En una publicación publicada el viernes, los investigadores de Dragos escribieron:
Si bien hasta la fecha ninguno de los eventos dirigidos a empresas eléctricas ha resultado en una intrusión conocida y exitosa en las organizaciones de víctimas, los intentos persistentes y la expansión en el alcance son motivo de preocupación definitiva. XENOTIME ha comprometido con éxito varios entornos de petróleo y gas, lo que demuestra su capacidad para hacerlo en otras verticales. Específicamente, XENOTIME sigue siendo una de las cuatro únicas amenazas (junto con ELECTRUM, Sandworm y las entidades responsables de Stuxnet) para ejecutar un ataque disruptivo o destructivo deliberado.
XENOTIME es la única entidad conocida que apunta específicamente a los sistemas instrumentados de seguridad (SIS) con fines disruptivos o destructivos. Los entornos de servicios públicos de electricidad son significativamente diferentes de las operaciones de petróleo y gas en varios aspectos, pero las operaciones eléctricas aún tienen equipos de seguridad y protección que podrían ser el objetivo de oficios similares. El hecho de que XENOTIME exprese un interés constante y directo en las operaciones de servicios públicos de electricidad es motivo de gran preocupación dada la voluntad de este adversario de comprometer la seguridad del proceso y, por lo tanto, la integridad, para cumplir su misión.
La expansión de XENOTIME a otra industria vertical es emblemática de un panorama de amenazas industriales cada vez más hostil. La actividad XENOTIME más observada se centra en la recopilación de información inicial y las operaciones de acceso necesarias para las operaciones de intrusión de ICS de seguimiento. Como se ve en las intrusiones patrocinadas por el estado de larga duración en los EE. UU., el Reino Unido y otras infraestructuras eléctricas, las entidades están cada vez más interesadas en los fundamentos de las operaciones de ICS y muestran todas las características asociadas con la información y la adquisición de acceso necesaria para realizar futuros ataques. Si bien Dragos no ve evidencia en este momento que indique que XENOTIME (o cualquier otro grupo de actividad, como ELECTRUM o ALLANITE) sea capaz de ejecutar un evento disruptivo o destructivo prolongado en las operaciones de servicios públicos eléctricos, la actividad observada indica claramente el interés del adversario en cumplir con los requisitos previos para haciéndolo.
La expansión de Xenotime en los servicios públicos de energía fue reportada por primera vez por E&E News and Wired, que citó una diapositiva publicada por E-ISAC, una parte de North American Electric Reliability Corporation. La diapositiva señaló que Dragos detectó a Xenotime «realizando operaciones de reconocimiento y de acceso inicial potencial» contra objetivos de la red de América del Norte, y señala que el E-ISAC «rastreo información de actividad similar de miembros de la industria eléctrica y socios gubernamentales». Dragos hizo públicos sus hallazgos una vez que recibió consultas sobre la diapositiva.
