El pasado 23 de diciembre los habitantes registraron un corte en el suministro eléctrico en la región ucraniana Ivano-Frankivsk. Tras investigar lo sucedido se comprobó que no se trataba de un corte accidental sino que resultaba ser algo más sofisticado. El mismo fue provocado por la actividad de un malware dirigido contra los sistemas de diversas centrales eléctricas lo cual no se convertía en un hecho aislado sino un ataque dirigido hacia este tipo de infraestructuras.
Este día, aproximadamente la mitad de esta población (más o menos 1,4 millones de habitantes según algunas fuentes) se quedaron sin electricidad durante varias horas. Pero ¿qué lo originó? Dichas centrales estaban siendo atacadas por cibercriminales empleando los troyanos BlackEnergy y KillDisk. ¿Dos troyanos? Pues sí, dos a falta de uno.
El método de infección venía de la mano de envío de correos electrónicos con un fichero adjunto malicioso para ser abierto por la suite Microsoft Office. Para darle más credibilidad suplantaron al remitente para que pareciese que provenía del Parlamento ucraniano. No nos confundamos, no se trata de una vulnerabilidad de este software ofimático, sino de las macros albergadas dentro de dichos ficheros que, mediante un texto, persuadía al usuario a ejecutarlas.
Si el usuario era engañado, el sistema, quedaba infectado por el troyano BlackEnergy Lite. Este malware modular utiliza varios componentes descargables para llevar a cabo tareas específicas. Una de estas tareas era la descarga del otro troyano, el KillDisk.
Éste una vez ejecutado en los sistemas previamente infectados por BlackEnergy, puede destruir distintos tipos de ficheros. La variante en cuestión incluía funcionalidades extras que permitían al troyano, no sólo borrar archivos importantes del sistema para evitar cualquier posibilidad de reinicio (común en los troyanos más destructivos), sino que contenía códigos concretos para sabotear sistemas industriales, como la sobre escritura de ciertos ejecutables de software empleado ampliamente en este tipo de entornos.
Por si fuera poco, según algunas fuentes, BlackEnergy permitiría acceso remoto a los atacantes pudiendo éstos, en teoría, apagar el equipo. Esto sumado a la acción de KillDisk descrita en el párrafo anterior, como la sobreescritura de archivos ejecutables en el disco duro con datos aleatorios, dificultaba o imposibilitaba la restauración del sistema.
Así pues este incidente refuerza la necesidad de implementar medidas humano-técnicas para proteger este tipo de infraestructuras críticas en especial los sistemas SCADA (Supervisory Control And Data Acquisition), o aquellos que sirvan para la administración de instalaciones de control y automatización industrial.
Recientemente hablaba en otra entrada que el ICS-CERT publicó una recomendación sobre las 7 estrategias a seguir para la securización de entornos industriales, apuntando como primera medida el “Whitelisting”. El “Whitelisting” o “Listas Blancas” en el idioma de Cervantes, consiste en la definición de una serie de aplicaciones o procesos que se consideren legítimos y deban ser ejecutados ya que forman parte de la operativa normal del sistema. Todo lo que no quede recogido dentro de la política del “Whitelisting” se bloqueará. En el caso que nos atañe la primera de las preguntas es ¿es necesario tener instalado un software que permita abrir ficheros de entornos ofimáticos en sistemas de entorno industrial? Si la respuesta es “necesariamente sí” (lo cual lo dudo y no lo creo así) podríamos emplear un software que permita llevar a cabo dicha estrategia de seguridad. Pero si no lo es, la respuesta es clara, ¡desinstalación inmediata de ese software!
En fin, como vemos no importa el sector al que nos refiramos, pero lo que si es cierto es que la previsión de este tipo de ataques y vectores, va en aumento en cantidad, sofisticación y “oscura” calidad.
Más información: