Imágenes Getty | Fotografía Diversa
Ha pasado más de media década desde que los notorios piratas informáticos rusos conocidos como Sandworm apuntó a una estación de transmisión eléctrica al norte de Kiev una semana antes de la Navidad de 2016, utilizando un código único y automatizado para interactuar directamente con los disyuntores de la estación y apagar las luces de una fracción de la capital de Ucrania. Ese espécimen sin precedentes de malware de sistemas de control industrial nunca se ha vuelto a ver, hasta ahora: en medio de la brutal invasión rusa de Ucrania, Sandworm parece estar sacando sus viejos trucos.
El martes, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y la firma de ciberseguridad eslovaca ESET emitieron avisos de que el grupo de piratas informáticos Sandworm, confirmado como la Unidad 74455 de la agencia de inteligencia militar GRU de Rusia, había apuntado a subestaciones eléctricas de alto voltaje en Ucrania utilizando una variación de una pieza de malware conocida como Industroyer o Crash Override. El nuevo malware, denominado Industroyer2, puede interactuar directamente con los equipos de las empresas eléctricas para enviar comandos a los dispositivos de la subestación que controlan el flujo de energía, al igual que la muestra anterior. Señala que el equipo de ciberataques más agresivo de Rusia intentó un tercer apagón en Ucrania, años después de sus históricos ciberataques en la red eléctrica ucraniana en 2015 y 2016, siendo los únicos apagones confirmados que se sabe que fueron causados por piratas informáticos.
ESET y CERT-UA dicen que el malware se plantó en los sistemas de destino dentro de una empresa de energía regional de Ucrania el viernes. CERT-UA dice que el ataque se detectó con éxito en curso y se detuvo antes de que se pudiera desencadenar un apagón real. Pero un aviso privado anterior de CERT-UA la semana pasada, reportado por primera vez por . el martes, indicó que se había cortado temporalmente la energía a nueve subestaciones eléctricas.
Tanto CERT-UA como ESET se negaron a nombrar la utilidad afectada. Pero más de 2 millones de personas viven en el área a la que sirve, según Farid Safarov, viceministro de energía de Ucrania.
“El intento de pirateo no afectó el suministro de electricidad en la compañía eléctrica. Fue detectado y mitigado de inmediato”, dice Viktor Zhora, un alto funcionario de la agencia de ciberseguridad de Ucrania, conocida como Servicios Estatales para la Protección Especial de la Comunicación y la Información (SSSCIP). . “Pero la interrupción prevista fue enorme”. Cuando se le preguntó sobre el informe anterior que parecía describir un ataque que tuvo al menos un éxito parcial, Zhora lo describió como un “informe preliminar” y se mantuvo firme en sus declaraciones públicas más recientes y las de CERT-UA.
Según CERT-UA, los piratas informáticos penetraron en la empresa eléctrica objetivo en febrero, o posiblemente antes (todavía no está claro exactamente cómo), pero solo intentaron implementar la nueva versión de Industroyer el viernes. Los piratas informáticos también implementaron múltiples formas de malware “limpiador” diseñado para destruir datos en las computadoras dentro de la utilidad, incluido el software de limpieza que apunta a los sistemas basados en Linux y Solaris, así como a los limpiadores de Windows más comunes, y también una pieza de código conocida como CaddyWiper. que se había encontrado dentro de los bancos ucranianos en las últimas semanas. CERT-UA afirmó el martes que también pudo detectar este malware de limpieza antes de que pudiera usarse. “Tuvimos mucha suerte de poder responder de manera oportuna a este ciberataque”, dijo Zhora a los periodistas en una conferencia de prensa el martes.