El documento, que fue escrito por el Equipo de Respuesta a Emergencias Informáticas (CERT) de Ucrania, administrado por el estado, describe “al menos dos intentos de ataque exitosos”, uno de los cuales comenzó el 19 de marzo, pocos días después de que Ucrania se uniera a la red eléctrica de Europa en un intento por acabar con la dependencia de Rusia.
Después de la publicación, Victor Zhora, subjefe del Servicio Especial Estatal para el Desarrollo Digital de Ucrania descrito el informe privado como “preliminar” a Wi red y lo calificó como un “error”.
Ya sea que hayan tenido éxito o no, los ataques cibernéticos en la red eléctrica ucraniana representan una continuación peligrosa en la agresión de Rusia contra Ucrania por parte de un grupo de piratería conocido como Sandworm, que Estados Unidos ha identificado como la Unidad 74455 de la agencia de inteligencia militar de Rusia.
Los piratas informáticos que se creía que trabajaban para la inteligencia rusa interrumpieron previamente el sistema eléctrico en Ucrania tanto en 2015 como en 2016. Si bien el ataque de 2015 fue en gran parte manual, el incidente de 2016 fue un ataque automatizado llevado a cabo con un malware conocido como Industroyer. El malware que los investigadores encontraron en los ataques de 2022 se denominó Industroyer2 por su similitud.
“Estamos lidiando con un oponente que nos ha estado perforando durante ocho años en el ciberespacio”, dijo Zhora a los periodistas el martes. “El hecho de que hayamos podido prevenirlo demuestra que somos más fuertes y estamos más preparados [than last time].”
Los analistas de ESET diseccionaron el código de Industroyer2 para mapear sus capacidades y objetivos. Los piratas informáticos intentaron no solo cortar la energía, sino también destruir las computadoras que los ucranianos usan para controlar su red. Eso habría cortado la capacidad de volver a poner la energía en línea rápidamente usando las computadoras de la compañía eléctrica.
En ciberataques anteriores, los ucranianos pudieron recuperar rápidamente el control en cuestión de horas volviendo a las operaciones manuales, pero la guerra lo ha hecho extremadamente difícil. No es tan fácil enviar un camión a una subestación cuando los tanques y soldados enemigos podrían estar cerca y las computadoras han sido saboteadas.
“Cuando están librando abiertamente una guerra contra nuestro país, golpeando hospitales y escuelas ucranianas, no tiene sentido esconderse”, dijo Zhora. “Una vez que golpeas casas ucranianas con cohetes, no hay necesidad de esconderse”.
Dado el exitoso historial de ataques cibernéticos agresivos de Moscú contra Ucrania y en todo el mundo, los expertos han estado anticipando que los piratas informáticos del país aparecerían y causarían daños. Los funcionarios de los Estados Unidos han pasado meses advertencia sobre la escalada de Rusia, ya que luchas en la guerra terrestre con Ucrania.
Durante el curso de la guerra, Ucrania y Estados Unidos culparon a los piratas informáticos rusos por usar múltiples limpiaparabrisas. Los sistemas financieros y gubernamentales se han visto afectados. Kiev también ha sido objeto de ataques de denegación de servicio, que han inutilizado los sitios web gubernamentales en momentos clave.
Sin embargo, el ataque Industroyer2 marca el ataque cibernético más grave conocido en la guerra hasta el momento. Los funcionarios de ciberseguridad de Ucrania están trabajando con Microsoft y ESET para investigar y responder.
Es uno de los pocos incidentes conocidos públicamente en los que piratas informáticos respaldados por el gobierno han atacado sistemas industriales.
El primero salió a la luz en 2010, cuando se reveló que el malware conocido como Stuxnet había sido diseñado, supuestamente por Estados Unidos e Israel, para sabotear el programa nuclear de Irán. Según los informes, los piratas informáticos respaldados por Rusia también han lanzado múltiples campañas de este tipo contra objetivos industriales en Ucrania, Estados Unidos y Arabia Saudita.
El artículo se actualizó para señalar que un funcionario ucraniano describió el informe anterior de UA-CERT como “preliminar” y un “error”.