Anuncio
Los expertos de la industria han estado diciendo durante años que los piratas informáticos podrían atacar la infraestructura crítica, incluido el transporte, el control industrial y los sistemas de energía. Pero con un reciente ataque a una red eléctrica ucraniana, un grupo de piratas informáticos rusos nos ha trasladado del ámbito de "podría" a "poder". Aquí está todo lo que necesita saber sobre el ataque.
¿Qué pasó en Ucrania?
El 23 de diciembre, los apagones se extendieron por la región de Ivano-Frankivsk de Ucrania, dejando a la mitad de los 1,4 millones de personas sin electricidad de la región. Los detalles del ataque aún se están resolviendo, pero parece que un grupo de hackers rusos lanzó un ataque coordinado de múltiples partes contra varios centros regionales de distribución de energía en el región.
Además de atacar los centros de distribución directamente, los atacantes también atacaron los sistemas telefónicos, evitando los clientes informaron los cortes de energía y utilizaron medidas para dificultar que los técnicos descubrieran corte.
De acuerdo con ESET, los hackers usaron un pieza de malware Virus, Spyware, Malware, etc. Explicado: Comprender las amenazas en líneaCuando comienzas a pensar en todas las cosas que podrían salir mal al navegar por Internet, la web comienza a parecer un lugar bastante aterrador. Lee mas llamó a BlackEnergy para infectar computadoras en la red eléctrica y otra herramienta llamada KillDisk para deshabilitarlas. KillDisk es muy destructivo: puede limpiar partes de un disco duro infectado 5 herramientas para eliminar permanentemente datos confidenciales de su disco duro [Windows]En un artículo reciente expliqué por qué es imposible recuperar datos de un disco duro después de sobrescribirlo. En esa publicación mencioné que simplemente eliminar archivos o formatear su disco duro normalmente ... Lee mas , sobrescribirlos y hacer que sea mucho más difícil restaurar los datos. Esta versión de KillDisk también se personalizó para apuntar específicamente a sistemas industriales.
También se incluyó en el ataque un seguro Puerta trasera SSH Qué es SSH y en qué se diferencia de FTP [Tecnología explicada] Lee mas , permitiendo a los hackers acceso total a los sistemas infectados. No está claro de inmediato si el malware en sí mismo fue responsable del cierre de la red o si los hackers usaron esta puerta trasera para acceder a los controles. Esto podría ser una distinción importante, ya que el malware utilizado en el ataque podría ser la causa del cierre o simplemente el habilitador.
BlackEnergy se ha utilizado en varios ataques contra objetivos ucranianos durante el año pasado, incluido un ataque contra empresas de medios ucranianos en el período previo a las elecciones ucranianas. Rusia y Ucrania se han involucrado en una guerra cibernética en curso, con ambos lados lanzando numerosos ataques, desde ciberespionaje y monitoreo de cámaras de CCTV hasta Ataques DDoS ¿Qué es un ataque DDoS? [MakeUseOf explica]El término DDoS silba siempre que el ciberactivismo levanta su cabeza en masa. Este tipo de ataques son titulares internacionales debido a múltiples razones. Los problemas que impulsan esos ataques DDoS son a menudo controvertidos o altamente ... Lee mas y congelar fondos en cuentas de PayPal.
¿Cómo se infectaron las compañías eléctricas?
ESET informa que el malware se entregó a través de macros infectadas en documentos de Microsoft Office Cómo protegerse del malware de Microsoft Word¿Sabía que su computadora puede estar infectada por documentos maliciosos de Microsoft Office o que podría engañarlo para que habilite la configuración que necesita para infectar su computadora? Lee mas , un método que está recuperando algo de popularidad. A los empleados de las compañías eléctricas se les enviaron correos electrónicos que parecían provenir del parlamento ucraniano, una práctica llamada phishing Cómo detectar archivos adjuntos de correo electrónico no seguros: 6 banderas rojasLeer un correo electrónico debe ser seguro, pero los archivos adjuntos pueden ser dañinos. Busque estas banderas rojas para detectar archivos adjuntos de correo electrónico no seguros. Lee mas - y los documentos adjuntos a esos correos electrónicos alentaron a los usuarios a ejecutar las macros, infectando así sus computadoras.
El malware utilizado en el ataque se encontró en las computadoras de varias compañías eléctricas a principios de año, lo que indica que este truco probablemente se planeó con mucha anticipación, una idea corroborada por la complejidad del ataque a través de múltiples sistemas. Es posible que la intención original fuera el apagón de todo el país.
El ataque recuerda a uno que se usó contra funcionarios de la OTAN y Ucrania en 2014; este aprovechó un exploit de día cero ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] Lee mas en Microsoft Windows El grupo utilizó esta hazaña para espiar a funcionarios de la OTAN y Ucrania, y el descubrimiento del hack fue la primera vez que Sandworm fue noticia.
¿Quién o qué es Sandworm?
Sandworm es el nombre de la grupo de piratería 4 principales grupos de hackers y lo que quierenEs fácil pensar en los grupos de hackers como una especie de revolucionarios románticos de la trastienda. ¿Pero quiénes son realmente? ¿Qué representan y qué ataques han llevado a cabo en el pasado? Lee mas ampliamente pensado para estar detrás de este ataque. El malware BlackEnergy está fuertemente vinculado a este grupo, que oculta referencias a la clásica novela de ciencia ficción de Frank Herbert Duna en su código (Sandworm es una referencia a una criatura en la novela, que se ve a continuación en la portada de Herejes de duna).
Debido a que sus objetivos han sido en gran medida opositores de Rusia, se ha especulado sobre si podrían tener el respaldo del gobierno ruso, lo que hace que estos ataques sean aún más graves importar. Por supuesto, asignar la culpa de estos ataques es muy complicado; Por el momento, no estamos totalmente seguros de que Sandworm esté detrás de los ataques, y mucho menos del Kremlin.
Sin embargo, los posibles vínculos con el gobierno ruso hacen de este un tema preocupante. Este es probablemente el primer ataque exitoso contra una red eléctrica, lo que significa que Rusia está impulsando sus capacidades de guerra cibernética. Estados Unidos e Israel han demostrado habilidades similares con el Gusano Stuxnet ¿Podrían estas técnicas de ciberespionaje de la NSA ser utilizadas en su contra?Si la NSA puede rastrearlo, y sabemos que puede hacerlo, también pueden hacerlo los ciberdelincuentes. Así es como las herramientas hechas por el gobierno serán utilizadas en su contra más tarde. Lee mas que destruyó centrifugadoras nucleares en Irán, pero específicamente atacar una red eléctrica con este complejo ataque de múltiples fases es una historia diferente.
¿Están los Estados Unidos en riesgo?
La relación históricamente difícil de Estados Unidos y Rusia hace que mucha gente se pregunte si Estados Unidos está preparado para este tipo de ataque, y la respuesta general de "no" es preocupante. Por supuesto, con algunos de los mejores expertos en ciberseguridad del mundo trabajando para la NSA, tenemos algunas de las mejores defensas que existen, pero el hecho es que este es un ataque sin precedentes.
Además del dominio evidente de Rusia de la guerra cibernética, el hecho de que gran parte de nuestra infraestructura crítica esté desactualizada, especialmente cuando se trata de la seguridad cibernética, también es muy preocupante. En 2014, Daniel Ross, CEO de la compañía de software de seguridad Promisec, dicho Forbes que los sistemas de infraestructura crítica están en riesgo porque "la mayoría de ellos ejecutan versiones de Windows muy antiguas o potencialmente sin parches, debido a que no se desmontan con mucha frecuencia ".
La Oficina de Responsabilidad del Gobierno de los Estados Unidos también ha hecho declaraciones similares, con infraestructura cibernética crítica y sistemas de información federales que hacen su Lista de "alto riesgo" en 2015. En resumen, sí, es probable que EE. UU. Esté en riesgo.
Sin un ataque cibernético devastador, parece poco probable que los legisladores estén dispuestos a dedicar la gran cantidad de dinero que tomará para defender adecuadamente la infraestructura crítica de EE. UU. y los sistemas de información federales de ataques a gran escala como el perpetrado en Ucrania. Solo podemos esperar que este evento sirva de ejemplo para los encargados de la defensa cibernética y los catalice para tomar medidas más firmes en la seguridad de la infraestructura crítica.
Las comida para llevar
La guerra cibernética está avanzando rápidamente, y la capacidad de atacar específicamente piezas de infraestructura crítica con un ataque altamente planificado de varias fases ahora se ha demostrado claramente. No sabemos con certeza si Rusia estaba detrás de esto, pero parece que una pandilla de hackers rusos, posiblemente con el apoyo del gobierno ruso, fue el creador del ataque. Y Estados Unidos no está preparado para defenderse de tal ataque.
¿Qué viene después de las redes eléctricas? ¿Ataques a edificios o instalaciones específicas? ¿Bases militares, tal vez? Hospitales? Contratistas de defensa? Desafortunadamente, las posibilidades parecen casi ilimitadas, y todo lo que podemos hacer es esperar y ver. El avance de Rusia, Ucrania y Estados Unidos puede tener efectos significativos para la guerra cibernética mundial.
¿Te pone nervioso este ataque a la red eléctrica de Ucrania? ¿Sientes que tu país está suficientemente preocupado por la seguridad cibernética? ¿O crees que será una llamada de atención en todo el mundo? ¡Comparte tus pensamientos a continuación!
Créditos de imagen: TUBOS a través de Wikimedia Commons (editado), Menna a través de Shutterstock.com, Kodda a través de Shutterstock.com.
Dann es un consultor de estrategia de contenido y marketing que ayuda a las empresas a generar demanda y clientes potenciales. También bloguea sobre estrategia y marketing de contenidos en dannalbright.com.