ESET ha analizado un malware sofisticado y extremadamente peligroso, conocido como Industroyer, que está diseñado para interrumpir procesos industriales críticos.

Actualización (17 de julio): los autores de la investigación de Industroyer, Anton Cherepanov y Robert Lipovsky, presentarán sus hallazgos en  Black Hat USA en Las Vegas el 26 de julio de 2017.

El ataque de 2016 a la red eléctrica de Ucrania que privó a una parte de su capital, Kiev, del poder durante una hora fue causado por un ataque cibernético. Desde entonces, los investigadores de ESET han analizado muestras de malware, detectado por ESET como Win32/Industroyer, capaz de realizar exactamente ese tipo de ataque.

Aún no se ha confirmado si el mismo malware estuvo realmente involucrado en lo que los expertos en ciberseguridad consideran que fue una prueba a gran escala. En cualquier caso, el malware es capaz de causar un daño significativo a los sistemas de energía eléctrica y también podría ser reajustado para apuntar a otros tipos de infraestructura crítica.

Industroyer es una amenaza particularmente peligrosa, ya que es capaz de controlar directamente los interruptores de subestación eléctrica y los interruptores automáticos. Para hacerlo, utiliza protocolos de comunicación industrial utilizados en todo el mundo en infraestructura de suministro de energía, sistemas de control de transporte y otros sistemas de infraestructura críticos (como agua y gas).

Estos interruptores y disyuntores son equivalentes digitales de interruptores analógicos; técnicamente se pueden diseñar para realizar diversas funciones. Por lo tanto, el impacto potencial puede variar desde simplemente apagar la distribución de energía, fallas en cascada y daños más graves al equipo. La gravedad también puede variar de una subestación a otra, también. No es necesario decir que la interrupción de dichos sistemas puede afectar directa o indirectamente el funcionamiento de los servicios vitales.

La peligrosidad de Industroyer radica en el hecho de que utiliza protocolos en la forma en que fueron diseñados para ser utilizados. El problema es que estos protocolos fueron diseñados hace décadas, y en aquel entonces los sistemas industriales estaban destinados a aislarse del mundo exterior. Por lo tanto, sus protocolos de comunicación no fueron diseñados teniendo en cuenta la seguridad. Eso significa que los atacantes no necesitaban buscar vulnerabilidades de protocolo; todo lo que necesitaban era enseñar al malware a “hablar” esos protocolos.

El reciente apagón ocurrió el 17 de diciembre de 2016, casi exactamente un año después del ciberataque bien documentado que causó un apagón que afectó a alrededor de 250,000 hogares en varias regiones de Ucrania el 23 de diciembre de 2015.

En 2015, los perpetradores se infiltraron en las redes de distribución de electricidad con el malware BlackEnergy, junto con KillDisk y otros componentes maliciosos, y luego abusaron del software legítimo de acceso remoto para controlar las estaciones de trabajo de los operadores y cortar el suministro eléctrico. Además de apuntar a la red eléctrica de Ucrania, no hay similitudes aparentes en el código entre BlackEnergy e Industroyer.

Estructura y funcionalidades clave

Industroyer es un malware modular. Su componente principal es una puerta trasera utilizada por los atacantes para gestionar el ataque: instala y controla los otros componentes y se conecta a un servidor remoto para recibir comandos e informar a los atacantes.

Lo que diferencia a Industroyer de otras infraestructuras de focalización de malware es el uso de cuatro componentes de carga útil, que están diseñados para obtener el control directo de interruptores e interruptores automáticos en una subestación de distribución de electricidad.

Cada uno de estos componentes está dirigido a protocolos de comunicación específicos especificados en los siguientes estándares: IEC 60870-5-101 , IEC 60870-5-104 , IEC 61850 y OLE para acceso a datos de control de proceso (OPC DA) .

En general, las cargas útiles funcionan en etapas cuyos objetivos son mapear la red, y luego descifrar y emitir comandos que funcionarán con los dispositivos de control industrial específicos. Las cargas útiles de Industroyer muestran el profundo conocimiento y comprensión de los autores de los sistemas de control industrial.

El malware contiene algunas características más que están diseñadas para permitir que permanezca fuera del radar, para garantizar la persistencia del malware y para eliminar todos los rastros de sí mismo después de que haya hecho su trabajo.

Por ejemplo, la comunicación con los servidores de C&C ocultos en Tor puede limitarse a horas no laborables. Además, emplea una puerta trasera adicional, disfrazada como la aplicación Bloc de notas, diseñada para recuperar el acceso a la red de destino en caso de que la puerta trasera principal se detecte y/o deshabilite.

Y su módulo de limpiador está diseñado para borrar claves de registro cruciales del sistema y sobrescribir archivos para que el sistema no se pueda arrancar y la recuperación sea más difícil. De interés es el escáner de puertos que mapea la red, tratando de encontrar computadoras relevantes: los atacantes crearon su propia herramienta personalizada en lugar de usar el software existente. Finalmente, otro módulo más es una herramienta de denegación de servicio que aprovecha la vulnerabilidad CVE-2015-5374 en los dispositivos SIPROTEC de Siemens y puede hacer que los dispositivos específicos no respondan.

Conclusión

Industroyer es un malware altamente personalizable. Si bien es universal, ya que se puede usar para atacar cualquier sistema de control industrial utilizando algunos de los protocolos de comunicación específicos, algunos de los componentes de las muestras analizadas se diseñaron para apuntar a un hardware en particular. Por ejemplo, el componente de limpiaparabrisas y uno de los componentes de carga útil están diseñados para su uso contra sistemas que incorporan ciertos productos de control de potencia industrial por ABB, y el componente DoS funciona específicamente contra dispositivos SIPROTECT de Siemens utilizados en subestaciones eléctricas y otros campos de aplicación relacionados.

Si bien, en principio, es difícil atribuir ataques al malware sin realizar una respuesta a incidentes in situ, es muy probable que se haya utilizado Industroyer en el ataque de diciembre de 2016 contra la red eléctrica de Ucrania. Además del hecho de que el malware posee claramente las capacidades únicas para realizar el ataque, contiene una marca de tiempo de activación para el 17 de diciembre de 2016, el día del corte de energía.

El ataque de 2016 a la red eléctrica de Ucrania atrajo mucha menos atención que el ataque que ocurrió un año antes. Sin embargo, la herramienta más utilizada, Win32/Industroyer, es una pieza avanzada de malware en manos de un atacante sofisticado y decidido.

Gracias a su capacidad de persistir en el sistema y proporcionar información valiosa para ajustar las cargas útiles altamente configurables, los atacantes pueden adaptar el malware a cualquier entorno, lo que lo hace extremadamente peligroso. Independientemente de si el reciente ataque a la red eléctrica ucraniana fue una prueba, debería servir como una llamada de atención para los responsables de la seguridad de los sistemas críticos de todo el mundo.


Fuente: LINK