Una instalación de gas natural con sede en EE. UU. cerró sus operaciones durante dos días después de sufrir una infección de ransomware que impidió que el personal recibiera datos operativos cruciales en tiempo real del equipo de control y comunicación, dijo el martes el Departamento de Seguridad Marketingdecontenido.
El aviso del martes de la Agencia de Seguridad de Infraestructura y Ciberseguridad del DHS, o CISA, no identificó el sitio excepto para decir que era una instalación de compresión de gas natural. Dichos sitios generalmente usan turbinas, motores y máquinas para comprimir el gas natural para que pueda moverse de manera segura a través de tuberías.
El ataque comenzó con un enlace malicioso en un correo electrónico de phishing que permitió a los atacantes pasar de la red de TI de la instalación a la red de OT de la instalación, que es el centro de tecnología operativa de los servidores que controlan y monitorean los procesos físicos de la instalación. Con eso, tanto las redes de TI como las de OT se infectaron con lo que el aviso describió como «ransomware de productos básicos».
La infección no se propagó a los controladores lógicos programables, que en realidad controlan los equipos de compresión, y no hizo que la instalación perdiera el control de las operaciones, según el aviso del martes. El aviso decía explícitamente que «en ningún momento el actor de la amenaza obtuvo la capacidad de controlar o manipular las operaciones».
Aún así, el ataque destruyó el equipo de comunicaciones y control crucial del que dependen los empleados en el sitio para monitorear los procesos físicos.
“Activos específicos que experimentan una pérdida de disponibilidad [T826] en la red OT incluía interfaces hombre-máquina (HMI), historiadores de datos y servidores de sondeo”, escribieron los funcionarios de CISA. “Los activos afectados ya no podían leer y agregar datos operativos en tiempo real informados desde dispositivos OT de bajo nivel, lo que resultó en una pérdida de vista parcial [T829] para operadores humanos.”
El personal de la instalación implementó un “cierre deliberado y controlado de las operaciones” que duró aproximadamente dos días. “Las instalaciones de compresión geográficamente distintas también tuvieron que detener las operaciones debido a las dependencias de transmisión de tuberías”, dijo el aviso. Como resultado, el cierre afectó a todo el “activo del oleoducto”, no solo a la instalación de compresión. Las operaciones normales se reanudaron después de eso.
fallas de seguridad
El aviso reveló varias fallas en el régimen de seguridad de la instalación. El primer lapso involucró deficiencias en el plan de respuesta de emergencia de la instalación, que “no consideró específicamente los ataques cibernéticos”. En cambio, el plan se centró en las amenazas a la seguridad física.
“Aunque el plan requería una declaración de emergencia total y un cierre inmediato, la víctima consideró que el impacto operativo del incidente fue menos severo que el previsto por el plan y decidió implementar medidas de respuesta de emergencia limitadas”, indicó el aviso. “Estos incluyeron una transición de cuatro horas del modo operativo al modo de apagado combinado con una mayor seguridad física”.
Otra brecha fue la falta de implementación de sólidas defensas de segmentación entre las redes de TI y OT. Como resultado, la infección pudo «atravesar el límite de TI-OT y deshabilitar los activos en ambas redes».
La sección completa de «planificación y operaciones» del aviso fue:
- En ningún momento el actor de la amenaza obtuvo la capacidad de controlar o manipular las operaciones. La víctima desconectó las HMI que leen y controlan las operaciones en la instalación. Una oficina de control central separada y geográficamente distinta pudo mantener la visibilidad pero no estaba instrumentada para el control de las operaciones.
- El plan de respuesta de emergencia existente de la víctima se centró en las amenazas a la seguridad física y no en los incidentes cibernéticos. Aunque el plan exigía una declaración de emergencia total y un cierre inmediato, la víctima consideró que el impacto operativo del incidente era menos grave que el previsto por el plan y decidió implementar medidas de respuesta de emergencia limitadas. Estos incluyeron una transición de cuatro horas del modo operativo al modo de apagado combinado con una mayor seguridad física.
- Aunque el impacto operativo directo del ataque cibernético se limitó a una instalación de control, las instalaciones de compresión geográficamente distintas también tuvieron que detener las operaciones debido a las dependencias de transmisión de tuberías. Esto resultó en un cierre operativo de todo el activo del oleoducto que duró aproximadamente dos días.
- Aunque consideraron una variedad de escenarios de emergencia física, el plan de respuesta de emergencia de la víctima no consideró específicamente el riesgo que representan los ataques cibernéticos. En consecuencia, los ejercicios de respuesta a emergencias tampoco proporcionaron a los empleados experiencia en la toma de decisiones para hacer frente a los ataques cibernéticos.
- La víctima citó lagunas en el conocimiento de la seguridad cibernética y la amplia gama de escenarios posibles como razones para no incorporar adecuadamente la seguridad cibernética en la planificación de respuesta a emergencias.
El aviso llega dos semanas después de que los investigadores de la firma de ciberseguridad industrial Dragos informaran que una cepa de ransomware conocida como Ekans manipuló intencionalmente los sistemas de control industrial en los que se basan las instalaciones de gas y otras infraestructuras críticas para mantener los equipos funcionando de manera confiable y segura.
No hay evidencia de que el malware que golpeó la instalación de compresión de gas fuera Ekans. El aviso del martes no identifica la pieza específica de ransomware que se utilizó. Los investigadores de Dragos no respondieron de inmediato a las preguntas. Esta publicación se actualizará si llega una respuesta más tarde.
