chivo | imágenes falsas
El gobierno ucraniano advirtió el lunes que el Kremlin planea llevar a cabo “ataques cibernéticos masivos” dirigidos a las redes eléctricas y otras infraestructuras críticas en Ucrania y en los territorios de sus aliados.
“Con los ataques cibernéticos, el enemigo intentará aumentar el efecto de los ataques con misiles en las instalaciones de suministro de electricidad, principalmente en las regiones del este y sur de Ucrania”, un consultivo prevenido. “El comando de ocupación está convencido de que esto ralentizará las operaciones ofensivas de las Fuerzas de Defensa de Ucrania”.
El aviso del lunes aludía a dos ataques cibernéticos que llevó a cabo el gobierno ruso, primero en 2015 y luego casi exactamente un año después, que dejaron deliberadamente a los ucranianos sin electricidad durante uno de los meses más fríos del año. Los ataques fueron vistos como una prueba de concepto
El primer ataque reutilizó una pieza conocida de malware, llamada BlackEnergy, creada por piratas informáticos respaldados por el Kremlin. Los atacantes usaron este nuevo malware BlackEnergy3 para penetrar en las redes corporativas de las compañías eléctricas ucranianas y luego invadir aún más los sistemas de control de supervisión y adquisición de datos que las compañías usaban para generar y transmitir electricidad. El hackeo permitió a los atacantes usar la funcionalidad legítima que se encuentra comúnmente en la distribución y transmisión de energía para desencadenar una falla que provocó que más de 225,000 personas se quedaran sin energía durante más de seis horas.
El ataque de 2016 fue más sofisticado. Usó una nueva pieza de malware escrita desde cero diseñada específicamente para piratear sistemas de redes eléctricas. El nuevo malware, que se conoce con los nombres de Industroyer y Crash Override, se destacó por su dominio de los arcanos procesos industriales utilizados por los operadores de red de Ucrania. Industroyer se comunicó de forma nativa con esos sistemas para indicarles que desenergizaran y luego volvieran a energizar las líneas de la subestación.
“La experiencia de los ataques cibernéticos a los sistemas energéticos de Ucrania en 2015 y 2016 se utilizará al realizar operaciones”, dijo el lunes el gobierno ucraniano.
El aviso del lunes llega dos semanas después de que las fuerzas ucranianas recuperó vastas franjas de territorio en Kharkiv y otras ciudades que habían estado bajo control ruso durante meses. El presidente ruso, Vladimir Putin, pidió la semana pasada la movilización de 300.000 ciudadanos rusos para reforzar la invasión militar de Ucrania por parte del país.
La medida, que fue la primera vez desde la Segunda Guerra Mundial que Rusia lo hace, ha provocado protestas y una diáspora de rusos, en su mayoría hombres, que huyen del país. Un giro hacia una mayor dependencia de la piratería por parte de las fuerzas armadas del país podría verse como una forma de lograr los objetivos sin ejercer más presión sobre la actual escasez de personal.
Es difícil evaluar las posibilidades de una exitosa campaña de piratería contra las redes eléctricas de Ucrania. A principios de este año, CERT-UA de Ucrania dijo que detectó con éxito una nueva cepa de Industroyer dentro de la red de una empresa energética regional de Ucrania. Según se informa, Industroyer2 pudo desconectar temporalmente la energía de nueve subestaciones eléctricas, pero se detuvo antes de que se desencadenara un apagón importante.
“No tenemos ningún conocimiento o datos directos para hacer una evaluación sobre la capacidad de Ucrania para defender su red, pero sabemos que CERT-UA detuvo la implementación del malware INDUSTROYER.V2 que apuntó a las subestaciones eléctricas de Ucrania a principios de este año”, Chris Sistrunk, gerente técnico de Mandiant Industrial Control Systems Consulting, escribió en un correo electrónico. “Basándonos en eso, y en lo que sabemos sobre la resolución general del pueblo ucraniano, cada vez está más claro que una de las razones por las que los ataques cibernéticos en Ucrania han disminuido es porque sus defensores son muy agresivos y muy buenos para confrontar a los actores rusos”.
Pero los investigadores de Mandiant y otros lugares también notaron que Sandworm, el nombre del grupo respaldado por el Kremlin detrás de los ataques a la red eléctrica, se encuentra entre los grupos de piratería más elitistas del mundo. Son conocidos por su sigilo, persistencia y por permanecer ocultos dentro de organizaciones específicas durante meses o incluso años antes de aparecer.
Además de un ataque a las redes eléctricas, el aviso del lunes también advirtió sobre otras formas de interrupciones que el país esperaba que Rusia aumentara.
“El Kremlin también tiene la intención de aumentar la intensidad de los ataques DDoS en la infraestructura crítica de los aliados más cercanos de Ucrania, principalmente Polonia y los estados bálticos”, indicó el aviso. Desde febrero, los investigadores han dicho que los actores de amenazas prorrusos han estado detrás de un flujo constante de ataques distribuidos de denegación de servicio dirigidos a Ucrania y sus aliados.