Existe una tipo raro de “malware" diseñado para atacar los sistemas de control industrial como las redes eléctricas, las fábricas, los servicios de agua y las refinerías de petróleo. Por eso, los propietarios de infraestructuras críticas de todo el mundo deberían tomar nota cuando el gobierno de Estados Unidos advierte de la existencia de un código creado para atacar no sólo uno de esos sectores, sino potencialmente todos ellos.
El pasado miércoles, el Departamento de Energía, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras, la NSA y el FBI publicaron conjuntamente un aviso sobre un nuevo conjunto de herramientas de “hackers” potencialmente capaz de interferir en una amplia gama de equipos de sistemas de control industrial. Más que cualquier otro conjunto de herramientas de “hacking” de sistemas de control industrial, el malware contiene una serie de componentes diseñados para interrumpir o tomar el control del funcionamiento de los dispositivos, incluidos los controladores lógicos programables (PLC) que venden empresas como Schneider Electric y OMRON y que están diseñados para servir de interfaz entre los ordenadores tradicionales y los actuadores y sensores de los entornos industriales. Otro componente del malware está diseñado para atacar los servidores de la Arquitectura Unificada de Comunicaciones de Plataforma Abierta (OPC UA), los ordenadores que se comunican con esos controladores.
Sergio Caltagirone, vicepresidente de inteligencia de amenazas de la empresa de ciberseguridad industrial Dragos afirma que, "Se trata de la herramienta de ataque a sistemas de control industrial más amplia que se haya documentado jamás"; además de que él ha contribuido a la investigación del aviso y ha publicado su propio informe sobre el malware. Investigadores de la empresa de ciberseguridad Mandiant, Palo Alto Networks, Microsoft y Schneider Electric también han contribuido al aviso.
“Es como una navaja suiza con un gran número de piezas”.
Dragos dice que el malware tiene la capacidad de secuestrar los dispositivos de destino, interrumpir o impedir que los operadores accedan a ellos, bloquearlos permanentemente o incluso utilizarlos como punto de apoyo para dar a los “hackers” acceso a otras partes de una red de sistemas de control industrial. Señala que, aunque el kit de herramientas, al que Dragos llama "Pipedream", parece dirigirse específicamente a los PLC de Schneider Electric y OMRON, lo hace explotando el software subyacente en esos PLC conocido como Codesys, que se utiliza mucho más ampliamente en cientos de otros tipos de PLC. Esto significa que el “malware” podría adaptarse fácilmente para funcionar en casi cualquier entorno industrial. Caltagirone dice que, “Este conjunto de herramientas es tan grande que es básicamente un juego libre. Hay suficiente aquí para que todo el mundo se preocupe”.
El aviso de CISA se refiere a un “actor APT” no identificado que desarrolló el conjunto de herramientas de “malware”, utilizando el acrónimo común APT para significar amenaza persistente avanzada, un término para los grupos de hackers patrocinados por el Estado. No está claro dónde encontraron las agencias gubernamentales el “malware”, o qué “hackers” del país lo crearon, aunque el momento del aviso sigue a las advertencias de la administración Biden sobre los movimientos preparatorios del gobierno ruso para llevar a cabo ciberataques perturbadores en medio de su invasión de Ucrania.
Dragos tampoco quiso comentar el origen del malware. Pero Caltagirone dice que no parece haber sido utilizado realmente contra una víctima, o al menos, no ha provocado todavía efectos físicos reales en los sistemas de control industrial de la víctima. Caltagirone afirma que, “Confiamos plenamente en que aún no se haya desplegado con fines perturbadores o destructivos”.
Aunque la adaptabilidad del kit de herramientas significa que podría utilizarse contra prácticamente cualquier entorno industrial, desde la fabricación hasta el tratamiento del agua, Dragos señala que el aparente enfoque en los PLC de Schneider Electric y OMRON sugiere que los hackers podrían haberlo construido pensando en la red eléctrica y en las refinerías de petróleo -en particular, en las instalaciones de gas natural licuado-, dado el amplio uso de Schneider en las empresas eléctricas y la amplia adopción de OMRON en el sector del petróleo y el gas. Caltagirone sugiere que la posibilidad de enviar órdenes a los servomotores de esas instalaciones petroquímicas a través de los PLC de OMRON sería especialmente peligrosa, con la capacidad de causar "destrucción o incluso la pérdida de vidas".
El aviso del CISA no señala ninguna vulnerabilidad concreta en los dispositivos o en el “software” al que se dirige el “malware” Pipedream, aunque Caltagirone afirma que explota múltiples vulnerabilidades de día cero -fallas de software “hackeables” no parcheadas previamente- que aún están siendo corregidas. Sin embargo, señala que incluso el parcheado de esas vulnerabilidades no impedirá la mayor parte de las capacidades de Pipedream, ya que está diseñado en gran medida para secuestrar la funcionalidad prevista de los dispositivos de destino y enviar comandos legítimos en los protocolos que utilizan. El aviso de la CISA incluye una lista de medidas que los operadores de infraestructuras deberían tomar para proteger sus operaciones, desde limitar las conexiones de red de los sistemas de control industrial hasta implementar sistemas de monitorización para los sistemas ICS, en particular, que envíen alertas de comportamiento sospechoso.
Un portavoz de Schneider respondió en un comunicado que la empresa ha colaborado estrechamente con el gobierno estadounidense y la empresa de seguridad Mandiant y que juntos "identificaron y desarrollaron medidas de protección para defenderse" del conjunto de herramientas de ataque recién revelado. La empresa añadió que, "Se trata de un ejemplo de colaboración exitosa para disuadir las amenazas a las infraestructuras críticas antes de que se produzcan y subraya cómo las asociaciones público-privadas son fundamentales para detectar y contrarrestar proactivamente las amenazas antes de que puedan desplegarse".
El descubrimiento del kit de herramientas de malware Pipedream representa una rara adición al puñado de especímenes de “malware” encontrados en la naturaleza que tienen como objetivo el “software” de los sistemas de control industrial (ICS). El primer ejemplo, y aún el más conocido, de este tipo de “malware” sigue siendo Stuxnet, el código creado por Estados Unidos e Israel que se descubrió en 2010 después de que se utilizara para destruir centrifugadoras de enriquecimiento nuclear en Irán. Más recientemente, los “hackers” rusos conocidos como Sandworm, que forman parte de la agencia de inteligencia militar GRU del Kremlin, desplegaron una herramienta llamada Industroyer o Crash Override para provocar un apagón en la capital ucraniana de Kiev a finales de 2016.
Al año siguiente, “hackers” vinculados al Kremlin infectaron los sistemas de la refinería de petróleo saudí Petro Rabigh con un “malware” conocido como Triton o Trisis, diseñado para atacar sus sistemas de seguridad -con consecuencias físicas potencialmente catastróficas-, pero en su lugar provocaron dos cierres de las operaciones de la planta. La semana pasada se detectó que los “hackers” rusos Sandworm utilizaron una nueva variante de su código Industroyer para atacar una empresa eléctrica regional en Ucrania, aunque las autoridades ucranianas dicen que lograron detectar el ataque y evitar un apagón.
Sin embargo, el aviso de Pipedream es una nueva entrada especialmente preocupante en la galería de malware ICS, dada la amplitud de su funcionalidad. Pero su revelación -aparentemente antes de que pudiera ser utilizado con efectos perturbadores- se produce en medio de una ofensiva más amplia del gobierno de Biden contra las posibles amenazas de “hacking” a los sistemas de infraestructuras críticas, especialmente desde Rusia. Por ejemplo, el mes pasado el Departamento de Justicia hizo públicas las acusaciones contra dos grupos de “hackers” rusos con un historial de ataques a las redes eléctricas y a los sistemas petroquímicos. Una de las acusaciones nombraba por primera vez a uno de los “hackers” presuntamente responsables del ataque con malware Triton en Arabia Saudí y también le acusaba a él y a sus cómplices de atacar refinerías estadounidenses. En una segunda acusación se nombraba a tres agentes de la agencia de inteligencia rusa FSB como miembros de un conocido grupo de hackers conocido como Berserk Bear, responsable de años de hackeos a empresas eléctricas. Y a principios de este mes, el FBI tomó medidas para desbaratar una red de “bots” de dispositivos de red controlados por Sandworm, que siguen siendo los únicos “hackers” de la historia de los que se sabe que han provocado apagones.
A pesar de que el gobierno ha tomado medidas para llamar la atención e incluso desarmar a esos "hackers" perturbadores, Pipedream representa un poderoso conjunto de herramientas de malware en manos desconocidas, del que los operadores de infraestructuras deben tomar medidas para protegerse, dice Caltagirone. "No es un asunto menor", afirma. "Es un peligro claro y presente para la seguridad de los sistemas de control industrial".