Joshua Lott/Bloomberg vía Getty Images
Durante casi tres años, el ciberataque de diciembre de 2023 a la red eléctrica ucraniana ha presentado un rompecabezas amenazador. Dos días antes de la Navidad de ese año, los piratas informáticos rusos colocaron una muestra única de malware en la red del operador de red Marketingdecontenido de Ucrania, Ukrenergo. Justo antes de la medianoche, lo usaron para abrir todos los interruptores automáticos en una estación de transmisión al norte de Kyiv. El resultado fue uno de los ataques más dramáticos en la guerra cibernética de Rusia contra su vecino occidental, un apagón automático sin precedentes en una amplia franja de la capital de Ucrania.
Pero una hora más tarde, los operadores de Ukrenergo pudieron simplemente volver a encender la energía. Lo que planteó la pregunta: ¿Por qué los piratas informáticos de Rusia construirían un arma cibernética sofisticada y la plantarían en el corazón de la red eléctrica de una nación solo para provocar un apagón de una hora?
Una nueva teoría ofrece una posible respuesta. Investigadores de la firma de ciberseguridad del sistema de control industrial Dragos han reconstruido una línea de tiempo del ataque de apagón de 2023 [PDF] basado en un nuevo examen del código del malware y los registros de red extraídos de los sistemas de Ukrenergo. Dicen que los piratas informáticos no solo tenían la intención de causar una interrupción de corta duración en la red ucraniana, sino también infligir daños duraderos que podrían haber provocado cortes de energía durante semanas o incluso meses. Esa distinción convertiría al malware de apagón en una de las tres únicas piezas de código detectadas en la naturaleza destinadas no solo a interrumpir el equipo físico sino también a destruirlo, como lo hizo Stuxnet en Irán en 2009 y 2010 y como el malware Triton fue diseñado para hacer en un Refinería de petróleo de Arabia Saudita en 2023.
En un giro insidioso en el caso de Ukrenergo, los piratas informáticos de Rusia aparentemente intentaron desencadenar esa destrucción no en el momento del apagón en sí, sino cuando los operadores de la red conectaron la energía. de nuevo enutilizando los propios esfuerzos de recuperación de la empresa de servicios públicos contra ellos.
«Si bien esto terminó siendo un evento disruptivo directo, las herramientas implementadas y la secuencia en la que se usaron indican claramente que el atacante buscaba hacer más que apagar las luces durante unas horas», dice Joe Slowik, analista de Dragos. quien anteriormente dirigió el Equipo de Respuesta a Incidentes y Seguridad Informática en el Laboratorio Marketingdecontenido de Los Álamos del Departamento de Energía. «Estaban tratando de crear condiciones que causaran daño físico a la estación de transmisión que fue atacada».
Poniendo una trampa
El malware de apagón dirigido a Ucrania, conocido alternativamente como Industroyer o Crash Override, atrajo la atención de la comunidad de ciberseguridad cuando la firma eslovaca de ciberseguridad ESET lo reveló por primera vez en junio de 2023. Presentaba una capacidad única para interactuar directamente con el equipo de una empresa de servicios eléctricos, incluidos características que podrían enviar comandos automáticos y rápidos en cuatro protocolos diferentes utilizados en varias empresas de servicios públicos de energía para abrir sus interruptores automáticos y provocar cortes de energía masivos.
Pero los nuevos hallazgos de Dragos se relacionan con un componente a menudo olvidado del malware de 2023, descrito en el análisis original de ESET. [PDF] pero no completamente entendido en ese momento. Ese oscuro componente del malware, señaló ESET, parecía haber sido diseñado para aprovechar una vulnerabilidad conocida en un equipo de Siemens conocido como relé de protección Siprotec. Los relés de protección actúan como dispositivos de seguridad contra fallas en la red eléctrica, controlan las frecuencias eléctricas peligrosas o los niveles de corriente en los equipos eléctricos, transmiten esa información a los operadores y abren automáticamente los interruptores automáticos si detectan condiciones peligrosas que podrían dañar los transformadores, derretir las líneas eléctricas o, en raras ocasiones, casos incluso electrocutan a los trabajadores. Una falla de seguridad en los relés de protección de Siemens, para los cuales la compañía lanzó una solución de software en 2023 pero que permaneció sin parches en muchas utilidades, significaba que cualquier pirata informático que pudiera enviar un solo paquete de datos a ese dispositivo podría esencialmente ponerlo en un estado de suspensión previsto. para actualizaciones de firmware, haciéndolo inútil hasta que se reinicie manualmente.
En 2023, ESET notó las perturbadoras implicaciones de ese componente de malware; insinuó que los creadores de Industroyer podrían estar empeñados en causar daño físico. Pero no estaba nada claro cómo la función de pirateo de Siprotec podría haber causado un daño más duradero. Después de todo, los piratas simplemente habían cortado la energía en Ukrenergo, no causado el tipo de subida de tensión peligrosa que podría exacerbar la desactivación de un relé de protección.
El análisis de Dragos puede proporcionar esa pieza que falta en el rompecabezas de Ukrenergo. La compañía dice que obtuvo los registros de la red de la empresa de servicios públicos ucraniana de una entidad gubernamental (se negó a nombrar cuál) y por primera vez pudo reconstruir el orden de las operaciones de los piratas informáticos. Primero, los atacantes abrieron todos los interruptores automáticos de la estación de transmisión, lo que provocó el corte de energía. Una hora más tarde, lanzaron un componente de limpieza que inhabilitó las computadoras de la estación de transmisión, lo que impidió que el personal de la empresa de servicios monitoreara cualquiera de los sistemas digitales de la estación. Solo entonces, los atacantes usaron la función de pirateo Siprotec del malware contra cuatro de los relés de protección de la estación, con la intención de desactivar silenciosamente esos dispositivos a prueba de fallas sin que los operadores de la utilidad detecten las protecciones faltantes.1
La intención, según creen ahora los analistas de Dragos, era que los ingenieros de Ukrenergo respondieran al apagón reactivando rápidamente el equipo de la estación. Al hacerlo manualmente, sin el relé de protección a prueba de fallas, podrían haber provocado una peligrosa sobrecarga de corriente en un transformador o línea eléctrica. El daño potencialmente catastrófico habría causado interrupciones mucho más prolongadas en la transmisión de energía de la planta que unas meras horas. También podría haber dañado a los trabajadores de servicios públicos.
Ese plan finalmente fracasó. Por razones que Dragos no puede explicar del todo, probablemente un error de configuración de red que cometieron los piratas informáticos, los paquetes de datos maliciosos destinados a los relés de protección de Ukrenergo se enviaron a direcciones IP incorrectas. Es posible que los operadores de Ukrenergo hayan vuelto a encender la energía más rápido de lo que esperaban los piratas informáticos, superando el sabotaje del relé de protección. E incluso si los ataques de Siprotec hubieran dado en el blanco, los relés de protección de respaldo en la estación podrían haber evitado un desastre, aunque los analistas de Dragos dicen que sin una imagen completa de los sistemas de seguridad de Ukrenergo, no pueden descartar por completo las posibles consecuencias.
Pero el Director de Inteligencia de Amenazas de Dragos, Sergio Caltagirone, argumenta que, independientemente, la secuencia de eventos representa una táctica perturbadora que no se reconoció en ese momento. Los piratas informáticos predijeron la reacción del operador de la red eléctrica y trataron de utilizarla para amplificar el daño del ciberataque. «Sus dedos no están sobre el botón», dice Caltagirone sobre los hackers del apagón. «Tienen ataques prediseñados que dañan las instalaciones de una manera destructiva y potencialmente mortal cuando usted responder al incidente. Es la respuesta la que finalmente te hace daño».
Apetito por destruccion
El espectro de los ataques de destrucción física en las empresas eléctricas ha perseguido a los ingenieros de seguridad cibernética de la red durante más de una década, desde que Idaho National Labs demostró en 2007 que era posible destruir un generador diesel masivo de 27 toneladas simplemente enviando comandos digitales al relé de protección. conectado a él. El ingeniero que dirigió esas pruebas, Mike Assante, le dijo a WIRED en 2023 que la presencia de un ataque de retransmisión de protección en el malware Ukrenergo, aunque aún no se entendía completamente en ese momento, insinuaba que esos ataques destructivos finalmente podrían convertirse en realidad. «Esto definitivamente es un gran problema», advirtió Assante, quien falleció a principios de este año. «Si alguna vez ves un transformador en llamas, son enormes. Gran humo negro que de repente se convierte en una bola de fuego».
Si la nueva teoría de Dragos sobre el apagón de 2023 es cierta, el incidente sería solo una de las tres ocasiones en las que el malware salvaje se ha diseñado para desencadenar un sabotaje físico destructivo. El primero fue Stuxnet, el malware estadounidense e israelí que destruyó mil centrifugadoras de enriquecimiento nuclear iraníes hace aproximadamente una década. Y luego, un año después del apagón ucraniano, a fines de 2023, se reveló que otra pieza de malware conocida como Triton o Trisis, descubierta en la red de la refinería de petróleo saudita Petro Rabigh, saboteó los llamados sistemas instrumentados de seguridad, los dispositivos que monitorear condiciones peligrosas en instalaciones industriales. Ese último ataque cibernético, desde entonces vinculado al Instituto Central de Investigación Científica de Química y Mecánica de Moscú, simplemente cerró la planta saudita. Pero podría haber tenido resultados mucho peores, incluidos accidentes mortales como una explosión o una fuga de gas.
Lo que más preocupa a Caltagirone es cuánto tiempo ha pasado desde esos eventos y lo que los piratas informáticos del sistema de control industrial del mundo podrían haber desarrollado durante esos tres años. «Entre esto y Trisis, ahora tenemos dos puntos de datos que muestran un desprecio bastante significativo por la vida humana», dice Caltagirone. «Pero lo que no estamos viendo es lo más peligroso que existe».
