CONTACTO
CONTACTO

Industroyer/BlackEnergy: cómo funciona la nueva amenaza mundial

Para más información
Teléfono:
919 11 63 43
Email:
vs-sistemas@vs-sistemas.com
  • TIC's
industroyer
1 Agosto

Industroyer/BlackEnergy: cómo funciona la nueva amenaza mundial  

By J.M. Castillo, Post

Una avería de la red eléctrica a finales de 2015, dejó sin suministro a parte de la capital Kiev por una hora. Este titular puede pasar desapercibido si no fuera porque fue en realidad un ciberataque.

Hasta ahora existía la creencia de que solo se atacaba a sistemas informáticos en general y con Sistema operativo Windows en particular. Las cosas han cambiado y actualmente cualquier dispositivo electrónico conectado a la red es susceptible de ataques maliciosos. Con la proliferación de IOT (Siglas en ingles de internet de las cosas) hay multitud de elementos susceptibles de ser atacados, desde cámaras de vigilancia, Routers de internet, Smartphones, Televisiones, hasta los Switches (interruptores) que gestionan la red eléctrica de una ciudad o un país.

Hace algunas semanas, y gracias a la televisión, se conocieron ataques mundiales como wannacry o petry, (los cuales se habían dado también con anterioridad, pero con menor repercusión). Este hecho ha concienciado un poco más a los usuarios de que puede significar un ciberataque, y las consecuencias que puede tener; pero no lo suficiente.  Sin querer ser demasiado catastrofistas, este tipo de ataques pueden ser mucho más peligrosos que los vistos hasta ahora. Secuestrar la red eléctrica, o alguna de las redes de distribución (agua, gas, o la misma red de internet) puede tener consecuencias inimaginables para una ciudad o un país.

Aún no se ha confirmado si es el mismo malware el que está realmente involucrado en lo que los expertos en ciberseguridad consideraron una prueba a gran escala. Con la particularidad de que este Malware podría ser ajustado a otros tipos de infraestructuras. Según explica la compañía ESET, que es quien la ha descubierto, tiene la capacidad de controlar conmutadores e interruptores de subestaciones eléctricas.

Industroyer es particularmente peligroso ya que está programado para tener acceso y con ello controlar directamente los interruptores de la subestación eléctrica directamente. Para ello utiliza protocolos de comunicación industrial implementados a nivel mundial IEC 60870-5-101, IEC 60870-5-104, IEC 61850 y OLE para Process Control Data Access (OPC DA). Para entendernos; son como los interruptores que podemos tener en nuestra casa, pero a otro nivel, soportan mucha más tensión, son motorizados y pueden ser controlados remotamente, para ello usan electrónica y conexión externa.

La vulnerabilidad de estos protocolos es debido a que se diseñaron hace muchos años, y como tal, solo se pensó en que los entornos industriales estuviesen aislados del exterior, y no se valoró la posibilidad de que pudiesen estar conectados a la red.

Volviendo a lo acontecido en Ucrania. En aquella ocasión, los atacantes se infiltraron en las redes de distribución eléctrica con el malware BlackEnergy, y luego tomaron el control del software de acceso remoto para controlar las estaciones de trabajo de los operadores y cortar el suministro.

Cómo funciona

Industroyer tiene cuatro componentes. El componente central es un backdoor (puerta trasera) al instalarse se conecta a un servidor remoto, tras ello informa del estado y queda a la espera de recibir “instrucciones de sus programadores”. Otro componente es un payload, el cual se encarga de recopilar comandos legítimos que funcionan con los interruptores, apuntando directamente a los protocolos estándares de la industria. El tercer componente es una herramienta de denegación de Servicio que explota la vulnerabilidad CVE-2015-5374 en dispositivos Siemens SIPROTEC y puede dejarlos sin respuesta.Otro componente (como es tradicional) elimina sus rastros una vez terminado el trabajo, haciendo así más difíciles las labores forenses.

Cómo puede acceder a nuestra red

Industroyer puede acceder a nuestra infraestructura de diversas formas, pero todas tienen un elemento común: utilizan el engaño para acceder.

  • Aplicación Troyanizada. Al igual que Wannacry o Petry, una de las formas más comunes es simular un correo electrónico que parece de confianza, el cual solicita que se clikee en un link que descarga e instala automáticamente el archivo,

  • Documento Troyanizado, usando la técnica anterior, en vez de un link, el correo tiene incrustado en algún documento, como macro de office o PDF, por ejemplo.

  • Unidades USB previamente infectadas. Al insertar un dispositivo de almacenamiento USB en un pc, este puede instalarse automáticamente.

  • Instalador Fake. Simulando una página de descargas de algún programa gratuito, o usando el exe de instalación de programas pirateados, puede venir insertado el archivo de instalación. A este respecto hay datos de haberse encontrado en un instalador que simulaba la aplicación Adobe Flash Player.

En próximos posts veremos cómo prepararnos ante esta nueva amenaza para poder prevenirla.

 

Existe un informe detallado del funcionamiento creado por ESET, y disponible en este link. https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

Aquí se puede leer la noticia del apagón: http://www.reuters.com/article/us-ukraine-cyber-attack-energy-idUSKBN1521BA

Fuentes:

https://www.certsi.es

https://www.welivesecurity.com

 

Comparte este artículo

 

Compartir10

 

Autor

Dpto sistemas

 

J.M. Castillo

Departamento de Sistemas

COMPARTIR

También te puede interesar

  • TIC's
768k day, ¿el apocalipsis de internet?
  • TIC's
Por qué la autenticación básica para Exchange Online es tan poco recomendable
  • TIC's
Copia de página Por qué la autenticación básica para Exchange Online es tan poco recomendable
  • TIC's
Políticas de contraseñas en Office 365
EVENTOS Y WEBINARS
BLOG
CONTACTO
Resumen de Cookies

Una Cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario. El navegador del usuario memoriza cookies en el disco duro solamente durante la sesión actual ocupando un espacio de memoria mínimo y no perjudicando al ordenador. Las cookies no contienen ninguna clase de información personal específica, y la mismas se borran del disco duro al finalizar la sesión de navegador (las denominadas cookies de sesión).

La mayoría de los navegadores aceptan como estándar a las cookies y, con independencia de las mismas, permiten o impiden en los ajustes de seguridad las cookies temporales o memorizadas.

Cookies utilizadas en el sitio Web

A continuación se clasifican las cookies utilizadas por este sitio Web:

  • Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
  • Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian la dirección IP de conexión, el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
  • Cookies de análisis: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
  • Cookies publicitarias: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten gestionar de la forma más eficaz posible la oferta de los espacios publicitarios que hay en la página web, adecuando el contenido del anuncio al contenido del servicio solicitado o al uso que realice de nuestra página web. Para ello podemos analizar sus hábitos de navegación en Internet y podemos mostrarle publicidad relacionada con su perfil de navegación.
  • Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
  • Cookies propias o de terceros: Las cookies “propias”, son las gestionadas por el dominio al que el usuario está accediendo y del que solicita un determinado servicio. No obstante, la Web puede utilizar servicios de terceros que, por cuenta del titular de la Web, recopilaran información con fines estadísticos, de uso de la Web por parte del usuario y para la prestación de otros servicios relacionados con la actividad de la Web y otros servicios de Internet. Generalmente, son enviadas al equipo del usuario desde un dominio diferente al nuestro que es gestionado por otra entidad colaboradora.
  • Cookies de sesión o permanentes: Las cookies de sesión se asignan al dispositivo desde el que el usuario esté navegando sólo por la duración de la visita a la web, estas cookies desaparecen automáticamente cuando el usuario cierra el navegador. Si las cookies son permanentes los datos se almacenan en el equipo del usuario utilizado para navegar, siendo su duración temporal la mínima imprescindible atendiendo a la finalidad de su uso. La duración temporal de las cookies permanentes y su fecha de expiración puede ser consultada a través de la configuración de su navegador.
  • Cookies de redes sociales: Las cookies de RRSS pueden almacenarse en su navegador mientras navega por dichas redes, por ejemplo, cuando utiliza el botón de compartir contenidos en alguna red social. La información sobre las cookies de las redes sociales que utiliza esta web puede verla en sus propias políticas de cookies.