Para todos los grupos de hackers del estado-nación que han apuntado la Red eléctrica de Estados Unidos—E incluso violado con éxito las empresas eléctricas estadounidenses—Sólo el grupo de inteligencia militar ruso conocido como Sandworm ha sido lo suficientemente descarado como para provocar apagones reales, apagando las luces en Ucrania en 2015 y 2016. Ahora, una empresa de seguridad centrada en la red advierte que un grupo vinculado a los hackers especialmente peligrosos de Sandworm también ha estado apuntando activamente al sistema energético de EE. UU. Durante años.
El miércoles, la firma de ciberseguridad industrial Dragos publicó su informe anual sobre el estado de la seguridad de los sistemas de control industrial, que nombra cuatro nuevos grupos de hackers extranjeros centrados en esos sistemas de infraestructura crítica. Tres de esos grupos recién nombrados se han dirigido a los sistemas de control industrial en Estados Unidos, según Dragos. Pero lo más notable, quizás, es un grupo al que Dragos llama Kamacite, que la firma de seguridad describe como haber trabajado en cooperación con Sandworm de GRU. Kamacite ha servido en el pasado como equipo de “acceso” de Sandworm, escriben los investigadores de Dragos, centrado en afianzarse en una red objetivo antes de ceder ese acceso a un grupo diferente de piratas informáticos de Sandworm, que en ocasiones han llevado a cabo efectos disruptivos. Dragos dice que Kamacite se ha dirigido repetidamente a las empresas de servicios públicos de electricidad, petróleo y gas y otras empresas industriales de EE. UU. Desde 2017.
“Están operando continuamente contra las entidades eléctricas estadounidenses para tratar de mantener una apariencia de persistencia” dentro de sus redes de TI, dice el vicepresidente de inteligencia de amenazas de Dragos y ex analista de la NSA Sergio Caltagirone. En un puñado de casos durante esos cuatro años, dice Caltagirone, los intentos del grupo de violar las redes de esos objetivos estadounidenses han tenido éxito, lo que ha llevado al acceso a esos servicios públicos que ha sido intermitente, si no bastante persistente.
Sin embargo, Caltagirone dice que Dragos solo ha confirmado las brechas exitosas de Kamacite en las redes de los EE. UU. Pero debido a que la historia de Kamacite incluye trabajar como parte de las operaciones de Sandworm que provocó apagones en Ucrania no una, sino dos—Desconectando la energía a un cuarto de millón de ucranianos a fines de 2015 y luego a una fracción de la capital de Kiev a fines de 2016— su objetivo de la red de EE. UU. Debería generar alarmas. “Si ve Kamacite en una red industrial o apuntando a entidades industriales, claramente no puede estar seguro de que solo están recopilando información. Debe asumir que algo más sigue”, dice Caltagirone. “Kamacite es peligroso para las instalaciones de control industrial porque cuando las atacan, tienen una conexión con entidades que saben cómo realizar operaciones destructivas”.
Dragos vincula a Kamacite con intrusiones en la red eléctrica no solo en los EE. UU., Sino también con objetivos europeos mucho más allá de los ataques bien publicitados en Ucrania. Eso incluye una campaña de piratería contra el sector eléctrico de Alemania en 2017. Caltagirone agrega que ha habido “un par de intrusiones exitosas entre 2017 y 2018 por parte de Kamacite de entornos industriales en Europa Occidental”.
Dragos advierte que las principales herramientas de intrusión de Kamacite han sido correos electrónicos de suplantación de identidad con cargas útiles de malware y la fuerza bruta de los inicios de sesión basados en la nube de servicios de Microsoft como Office 365 y Active Directory, así como redes privadas virtuales. Una vez que el grupo gana un punto de apoyo inicial, explota las cuentas de usuario válidas para mantener el acceso y ha utilizado la herramienta de robo de credenciales Mimikatz para extenderse aún más a las redes de víctimas.
“Un grupo entra, el otro … sabe qué hacer”
La relación de Kamacite con los piratas informáticos conocidos como Sandworm, que ha sido identificado por la NSA y el Departamento de Justicia de los EE. UU. como la Unidad 74455 del GRU—No está exactamente claro. Los intentos de las empresas de inteligencia de amenazas para definir distintos grupos de piratas informáticos dentro de agencias de inteligencia en la sombra como el GRU siempre han sido turbios. Al nombrar a Kamacite como un grupo distinto, Dragos busca desglosar las actividades de Sandworm de manera diferente a otras que han informado públicamente sobre ello, separando a Kamacite como un equipo centrado en el acceso de otro grupo relacionado con Sandworm al que llama Electrum. Dragos describe a Electrum como un equipo de “efectos”, responsable de cargas útiles destructivas como el malware conocido como Crash Override o Industroyer
Juntos, en otras palabras, los grupos que Dragos llaman Kamacite y Electrum componen lo que otros investigadores y agencias gubernamentales denominan colectivamente Sandworm. “Un grupo entra, el otro grupo sabe qué hacer cuando entran”, dice Caltagirone. “Y cuando operan por separado, lo que también vemos, vemos claramente que ninguno es muy bueno en el trabajo del otro”.
Cuando WIRED se acercó a otras firmas de inteligencia de amenazas, incluidas FireEye y CrowdStrike, ninguna pudo confirmar haber visto una campaña de intrusión relacionada con Sandworm dirigida a empresas de servicios públicos de EE. UU. Según lo informado por Dragos. Pero FireEye ha confirmado previamente haber visto un campaña de intrusión generalizada dirigida a los EE. UU. vinculada a otro grupo de GRU conocido como APT28 o Fancy Bear, que WIRED reveló el año pasado después de recibir un correo electrónico de notificación del FBI enviado a los objetivos de esa campaña. Dragos señaló en ese momento que la campaña APT28 compartía la infraestructura de comando y control con otro intento de intrusión que se había dirigido a una “entidad energética” estadounidense en 2019, según un aviso del Departamento de Energía de Estados Unidos. Dado que APT28 y Sandworm han trabajado de la mano en el pasado, Dragos ahora fija ese objetivo del sector energético de 2019 en Kamacite como parte de su ola de piratería más grande de varios años dirigida a EE. UU.
Vanadinas y garras
El informe de Dragos pasa a nombrar otros dos nuevos grupos que apuntan a los sistemas de control industrial de Estados Unidos. El primero, al que llama Vanadinita, parece tener conexiones con el amplio grupo de Hackers chinos conocidos como Winnti. Dragos culpa a Vanadinite de los ataques que utilizaron el ransomware conocido como ColdLock para perturbar las organizaciones de víctimas taiwanesas, incluidas las empresas de energía estatales. Pero también apunta a que Vanadinite apunta a objetivos de energía, fabricación y transporte en todo el mundo, incluso en Europa, América del Norte y Australia, en algunos casos mediante la explotación de vulnerabilidades en las VPN.
El segundo grupo recién nombrado, al que Dragos llama Talonite, parece haberse dirigido también a las empresas eléctricas de América del Norte, utilizando correos electrónicos de spear-phishing con malware. Vincula esa focalización a Intentos de phishing anteriores con malware conocido como Lookback identificado por Proofpoint en 2019. Otro grupo que Dragos ha denominado Stibnite se ha dirigido a las empresas eléctricas y parques eólicos de Azerbaiyán utilizando sitios web de phishing y archivos adjuntos de correo electrónico maliciosos, pero no ha afectado a los EE. UU. Según el conocimiento de la empresa de seguridad.
Si bien ninguno de la lista cada vez mayor de grupos de piratas informáticos que apuntan a sistemas de control industrial en todo el mundo parece haber utilizado esos sistemas de control para desencadenar efectos disruptivos reales en 2020, Dragos advierte que la gran cantidad de esos grupos representa una tendencia inquietante. Caltagirone apunta a un raro pero relativamente crudo intrusión dirigida a una pequeña planta de tratamiento de agua en Oldsmar, Florida, a principios de este mes, en el que un pirata informático aún no identificado intentó aumentar enormemente los niveles de lejía cáustica en el agua de la ciudad de 15.000 personas. Dada la falta de protección en ese tipo de pequeños objetivos de infraestructura, un grupo como Kamacite, argumenta Caltagirone, podría desencadenar fácilmente efectos dañinos generalizados incluso sin la experiencia en sistemas de control industrial de un grupo asociado como Electrum.
Eso significa que el aumento incluso de grupos relativamente no calificados representa una amenaza real, dice Caltagirone. El número de grupos que se dirigen a los sistemas de control industrial ha crecido continuamente, agrega, desde entonces. Stuxnet mostró a principios de la última década que la piratería industrial con efectos físicos es posible. “Están apareciendo muchos grupos y no muchos van a desaparecer”, dice Caltagirone. “En tres o cuatro años, siento que vamos a alcanzar un pico y será una catástrofe absoluta”.
Esta historia apareció originalmente en wired.com.