Cómo los piratas informáticos del ejército ruso atacaron la red eléctrica de Ucrania
Los creadores de Industroyer han vuelto al servicio, cinco años después de provocar un apagón en la capital de Ucrania.
El terrible malware industrial está de vuelta. Creado por piratas informáticos del grupo Sandworm, una rama del servicio de inteligencia militar ruso (GRU), este software de sabotaje provocó un corte de energía de una hora en la capital ucraniana en diciembre de 2016. Más de cinco años después, una variante A de este malware acaba de reaparecer y tiene como objetivo una subestación eléctrica de alta tensión en el país. Ha sido detectado y analizado por los investigadores de seguridad de Eset, quienes creen " con mucha confianza " que fue creado a partir del código fuente industrial. Es por eso que los expertos simplemente lo llamaron "Industroyer2".
Ver también vídeo:
)
El ataque se llevó a cabo el 8 de abril, unas dos semanas después de que se compilara el malware. Los piratas informáticos primero infectaron las máquinas Windows y Linux del proveedor de electricidad con un software llamado CaddyWiper, capaz de destruir datos. No se sabe cuándo se implementó Industroyer2 en el Sistema de control industrial (ICS), pero estaba programado para ejecutarse minutos después de que se implementara CaddyWiper.
Un poco más de una hora después, Industroyer2 se está ejecutando en máquinas con Windows en la red ICS, aparentemente con la intención de crear un apagón. Para ello, el malware se basa en comandos enviados por un protocolo especializado (IEC-104). Diez minutos después, se están ejecutando diferentes instancias de CaddyWiper, incluidas las máquinas infectadas con Industroyer2. Los piratas probablemente querían asegurarse de que se eliminaran los rastros de este malware.
Múltiples ataques
Junto a esta operación de sabotaje industrial, los hackers utilizaron un gusano para infectar máquinas Linux y Solaris ubicadas en otra red de la compañía eléctrica. Este gusano se propaga al intentar conectarse a computadoras usando el protocolo SSH y basándose en una lista de identificadores. Si tuvo éxito, se ejecutó el software de destrucción de datos.
Eset
Las consecuencias de este ataque, sin embargo, no están claras. En una nota técnica, el centro de respuesta a incidentes del CERT-UA explica que el ataque fue completamente parado. Pero, según Wired, un memorando anterior indicaba lo contrario, lo que provocó graves cortes de energía. La subestación objetivo abastece a más de 2 millones de personas. Con el ataque a los servicios del satélite ViaSat, este es el segundo gran ataque informático lanzado en el contexto de esta guerra liderada por Rusia contra Ucrania.
Fuentes : Eset , CERT-UA , Alámbrico
Si quieres conocer otros artículos parecidos a Cómo los piratas informáticos del ejército ruso atacaron la red eléctrica de Ucrania puedes visitar la categoría Seguridad.
Deja una respuesta