cravetiger | imágenes falsas
El malware diseñado para atacar sistemas de control industrial como redes eléctricas, fábricas, servicios de agua y refinerías de petróleo representa una rara especie de maldad digital. Entonces, cuando el gobierno de los Estados Unidos advierte sobre un fragmento de código creado para apuntar no solo a una de esas industrias, sino potencialmente a todas ellas, los propietarios de infraestructura crítica en todo el mundo deben tomar nota.
El miércoles, el Departamento de Energía, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la NSA y el FBI publicaron conjuntamente un consultivo sobre un nuevo conjunto de herramientas de piratas informáticos potencialmente capaz de entrometerse con una amplia g ama de equipos de sistemas de control industrial. Más que cualquier kit de herramientas de piratería de sistemas de control industrial anterior, el malware contiene una variedad de componentes diseñados para interrumpir o tomar el control del funcionamiento de los dispositivos, incluidos los controladores lógicos programables (PLC) que venden Schneider Electric y OMRON y están diseñados para servir como la interfaz entre las computadoras tradicionales y los actuadores y sensores en entornos industriales. Otro componente del malware está diseñado para apuntar a los servidores de arquitectura unificada de comunicaciones de plataforma abierta (OPC UA), las computadoras que se comunican con esos controladores.
“Esta es la herramienta de ataque al sistema de control industrial más expansiva que nadie jamás haya documentado”, dice Sergio Caltagirone, vicepresidente de inteligencia de amenazas de la firma de ciberseguridad centrada en la industria Dragos, que contribuyó con la investigación al informe de asesoramiento y publicó su propio informe sobre el malware. Los investigadores de Mandiant, Palo Alto Networks, Microsoft y Schneider Electric también contribuyeron con el aviso. “Es como una navaja suiza con una gran cantidad de piezas”.
Dragos dice que el malware tiene la capacidad de secuestrar dispositivos de destino, interrumpir o evitar que los operadores accedan a ellos, bloquearlos permanentemente o incluso usarlos como punto de apoyo para dar acceso a los piratas informáticos a otras partes de una red de sistema de control industrial. Señala que si bien el conjunto de herramientas, que Dragos llama “Pipedream”, parece apuntar específicamente a los PLC de Schneider Electric y OMRON, lo hace explotando el software subyacente en esos PLC conocidos como Codesys, que se usa mucho más ampliamente en cientos de otros tipos de PLC. Esto significa que el malware podría adaptarse fácilmente para funcionar en casi cualquier entorno industrial. “Este conjunto de herramientas es tan grande que básicamente es un juego gratuito para todos”, dice Caltagirone. “Hay suficiente aquí para que todos se preocupen”.
El aviso de CISA se refiere a un “actor APT” anónimo que desarrolló el conjunto de herramientas de malware, utilizando el acrónimo común APT para referirse a una amenaza persistente avanzada, un término para grupos de piratas informáticos patrocinados por el estado. No está nada claro dónde las agencias gubernamentales encontraron el malware, o los piratas informáticos de qué país lo crearon, aunque el momento del aviso sigue advertencias de la administración Biden sobre el gobierno ruso tomando medidas preparatorias para llevar a cabo ataques cibernéticos disruptivos en medio de su invasión de Ucrania.
Dragos también se negó a comentar sobre el origen del malware. Pero Caltagirone dice que en realidad no parece haber sido utilizado contra una víctima, o al menos, aún no ha provocado efectos físicos reales en los sistemas de control industrial de una víctima. “Confiamos mucho en que aún no se haya desplegado por efectos perturbadores o destructivos”, dice Caltagirone.