8 de marzo de 2016
El 23 de Diciembre de 2015 una parte de Ucrania perdió su suministro eléctrico. Ciudades enteras quedaron a oscuras y durante horas no hubo manera de que las eléctricas afectadas recuperasen el control de la situación. Sus call center estaban bloqueados, los clientes no sabían que estaba pasando y ellos tampoco.
Consiguieron restablecer la energía manualmente después de un par de horas, prescindiendo del control de las redes informáticas que parecían haberse desplomado. Tras investigar el suceso los expertos arrojaron algo de luz sobre lo sucedido: Un sofisticado cyberataque había desconectado parte del suministro eléctrico ucraniano.
Lo que ocurrió:
Fueron tres las empresas afectadas, con alrededor de 225.000 clientes que perdieron el suministro. 103 ciudades quedaron totalmente sin energía, otras 186 tuvieron pérdidas parciales de suministro. Prykarpattya Oblenergo una de las compañías eléctricas afectadas, con casi 600.000 clientes en el país, declaró que 27 de sus subestaciones simplemente se apagaron sin previo aviso. Sus ingenieros no podían controlarlas remotamente.
A mismo tiempo, los ucranianos que acababan de quedarse sin energía ni siquiera podían llamar a los call center de sus compañías para quejarse y obtener explicaciones. Estaban bloqueados y no daban señal.
En Prykarpattya Oblenergo decidieron pasar el sistema a manual y enviaron equipos de ingenieros a encender de nuevo físicamente las subestaciones. La Red ya no servía. En un par de horas muy largas para ellos lograron restablecer el suministro eléctrico.
Investigando el "accidente", anatomía de un cyberataque:
Tres semanas después empezaron las primeras declaraciones: Prykarpattya Oblenergo declaró que sus sistemas sufrieron un "ataque de hackers". Habían logrado acceder a sus sistemas y a los controles de suministro eléctrico. A la vez, el acceso de sus ingenieros al sistema de control había quedado afectado. No podían utilizar el software.
Expertos de las agencias gubernamentales ucranianas y también estadounidenses se lanzaron a investigar lo que había quedado en los ordenadores afectados y concluyeron que se habían utilizado varios malware:
Días o semanas antes del ataque los sistemas de las compañías afectadas fueron infectados con una versión nueva del troyano BlackEnergy3. Aunque su rol aún no está oficialmente claro, lo más probable es que lo utilizaran para conseguir credenciales (cuentas y contraseñas de administradores) que luego utilizarían para obtener el control de las redes corporativas durante el ataque.
Este troyano, y sus versiones previas, ha sido desarrollado en entornos con el idioma en ruso. Además en otras ocasiones BlackEnergy ha sido detectado afectando objetivos considerados prioritarios para Rusia. Ucrania no tardó en responsabilizarles. Para ellos BlackEnergy3 es una herramienta rusa.
La manera de infectar los equipos fue, probablemente, emails de phishing que tenían ficheros adjuntos de Microsoft Office infectados con el malware. Esto resulta muy revelador y muy triste, aún en 2016 la gente en puestos de responsabilidad sigue picando. El eslabón más débil de cualquier sistema informático es el usuario aburrido, a eso de las diez de la mañana, cuando ya se le está bajando el primer café y no ha tomado el segundo. Los atacantes lo saben.
.
Después, ya con todos los credenciales que necesitaban, los atacantes tomaron el control de los sistemas de estas tres compañías a través de las propias herramientas de administración remotas. Usaron redes privadas virtuales (VPN) para enmascarar el origen de la intrusión, dejaron a los usuarios legítimos fuera y empezaron a apagar las subestaciones.
Antes de irse ejecutaron otro malware: KillDisk; borró datos, corrompió sistemas de archivos y anuló el firmware en las interfaces de red para dejarlas inoperativas. También cortaron la corriente a los servidores y apagaron remotamente sus SAI. La intención era destrozarlo todo lo máximo posible para dificultar la recuperación de los sistemas y la investigación de lo sucedido.
A la vez un aluvión de llamadas anónimas bloqueó los call center. Fue un ataque deliberado similar a los DoS sobre páginas web. Así bloquearon a los usuarios legítimos que querían informar del apagón.
Se hizo evidente que el ataque fue simultáneo y llevado a cabo por varios humanos (sí, es importante explicar que fueron humanos). Y coordinado, muy bien coordinado. Todo duró unos treinta minutos.
¿Y en qué ha quedado todo?
Primero, muchos ingenieros tuvieron un día horrible, de los peores. Los expertos y cyberforenses ucranianos se llevaron las manos a la cabeza y...a investigar. Equipos de expertos de agencias gubernamentales de los Estados Unidos viajaron hasta Ucrania para participar en la investigación del incidente. No fue altruismo, tenían que saber qué había pasado y si sus infraestructuras eran también vulnerables.
Pasaron las semanas, aún pasan. Y lo único seguro que se sabe es lo citado en la anatomía del ataque. Aún están tratando de descubrir qué ocurrió realmente, y qué o quiénes estuvieron detrás. Ucrania acusa a Rusia de hacerlo para debilitar su infraestructura civil en el marco de la guerra por la Península de Crimea. De ser así, es un acto de cyberguerra.
Rusia, claro, ha negado su participación en el ataque. Y los expertos aseguran que cualquier equipo lo bastante avanzado habría podido reutilizar el código de BlackEnergy3 para este propósito. Incluso podrían haberlo dejado ahí para apuntar falsamente a los rusos. O Rusia podría estar detrás, no sería nada nuevo.
Conclusión.
¿Confundido? Bueno, la cyberguerra es así. Lo cierto es que estamos ante una ecuación bastante irresoluble. Lo complicado del ataque, lo poco que quedó para investigar, el secretismo de las agencias implicadas en el marco de una guerra muy real por la Península de Crimea y la propia tendencia de las compañías a no informar de los cyberataques que sufren (al menos otras tres fueron afectadas, pero no sufrieron "problemas operativos importantes") nos dejan al final con poco más que una secuencia de eventos que hasta hace unos años eran ciencia ficción, y una sensación algo frustrante.
Pero ha quedado demostrado que un equipo de hackers bien formados puede derribar el suministro eléctrico de un país. Bueno, de un país que tenga su suministro eléctrico informatizado. Es decir, todos.
Por cierto, la cyberguerra es una de las cosas que predijo el cyberpunk.
Consiguieron restablecer la energía manualmente después de un par de horas, prescindiendo del control de las redes informáticas que parecían haberse desplomado. Tras investigar el suceso los expertos arrojaron algo de luz sobre lo sucedido: Un sofisticado cyberataque había desconectado parte del suministro eléctrico ucraniano.
Lo que ocurrió:
Fueron tres las empresas afectadas, con alrededor de 225.000 clientes que perdieron el suministro. 103 ciudades quedaron totalmente sin energía, otras 186 tuvieron pérdidas parciales de suministro. Prykarpattya Oblenergo una de las compañías eléctricas afectadas, con casi 600.000 clientes en el país, declaró que 27 de sus subestaciones simplemente se apagaron sin previo aviso. Sus ingenieros no podían controlarlas remotamente.
A mismo tiempo, los ucranianos que acababan de quedarse sin energía ni siquiera podían llamar a los call center de sus compañías para quejarse y obtener explicaciones. Estaban bloqueados y no daban señal.
En Prykarpattya Oblenergo decidieron pasar el sistema a manual y enviaron equipos de ingenieros a encender de nuevo físicamente las subestaciones. La Red ya no servía. En un par de horas muy largas para ellos lograron restablecer el suministro eléctrico.
Investigando el "accidente", anatomía de un cyberataque:
Tres semanas después empezaron las primeras declaraciones: Prykarpattya Oblenergo declaró que sus sistemas sufrieron un "ataque de hackers". Habían logrado acceder a sus sistemas y a los controles de suministro eléctrico. A la vez, el acceso de sus ingenieros al sistema de control había quedado afectado. No podían utilizar el software.
Expertos de las agencias gubernamentales ucranianas y también estadounidenses se lanzaron a investigar lo que había quedado en los ordenadores afectados y concluyeron que se habían utilizado varios malware:
Días o semanas antes del ataque los sistemas de las compañías afectadas fueron infectados con una versión nueva del troyano BlackEnergy3. Aunque su rol aún no está oficialmente claro, lo más probable es que lo utilizaran para conseguir credenciales (cuentas y contraseñas de administradores) que luego utilizarían para obtener el control de las redes corporativas durante el ataque.
Este troyano, y sus versiones previas, ha sido desarrollado en entornos con el idioma en ruso. Además en otras ocasiones BlackEnergy ha sido detectado afectando objetivos considerados prioritarios para Rusia. Ucrania no tardó en responsabilizarles. Para ellos BlackEnergy3 es una herramienta rusa.
La manera de infectar los equipos fue, probablemente, emails de phishing que tenían ficheros adjuntos de Microsoft Office infectados con el malware. Esto resulta muy revelador y muy triste, aún en 2016 la gente en puestos de responsabilidad sigue picando. El eslabón más débil de cualquier sistema informático es el usuario aburrido, a eso de las diez de la mañana, cuando ya se le está bajando el primer café y no ha tomado el segundo. Los atacantes lo saben.
.
Después, ya con todos los credenciales que necesitaban, los atacantes tomaron el control de los sistemas de estas tres compañías a través de las propias herramientas de administración remotas. Usaron redes privadas virtuales (VPN) para enmascarar el origen de la intrusión, dejaron a los usuarios legítimos fuera y empezaron a apagar las subestaciones.
Antes de irse ejecutaron otro malware: KillDisk; borró datos, corrompió sistemas de archivos y anuló el firmware en las interfaces de red para dejarlas inoperativas. También cortaron la corriente a los servidores y apagaron remotamente sus SAI. La intención era destrozarlo todo lo máximo posible para dificultar la recuperación de los sistemas y la investigación de lo sucedido.
A la vez un aluvión de llamadas anónimas bloqueó los call center. Fue un ataque deliberado similar a los DoS sobre páginas web. Así bloquearon a los usuarios legítimos que querían informar del apagón.
Se hizo evidente que el ataque fue simultáneo y llevado a cabo por varios humanos (sí, es importante explicar que fueron humanos). Y coordinado, muy bien coordinado. Todo duró unos treinta minutos.
¿Y en qué ha quedado todo?
Primero, muchos ingenieros tuvieron un día horrible, de los peores. Los expertos y cyberforenses ucranianos se llevaron las manos a la cabeza y...a investigar. Equipos de expertos de agencias gubernamentales de los Estados Unidos viajaron hasta Ucrania para participar en la investigación del incidente. No fue altruismo, tenían que saber qué había pasado y si sus infraestructuras eran también vulnerables.
Pasaron las semanas, aún pasan. Y lo único seguro que se sabe es lo citado en la anatomía del ataque. Aún están tratando de descubrir qué ocurrió realmente, y qué o quiénes estuvieron detrás. Ucrania acusa a Rusia de hacerlo para debilitar su infraestructura civil en el marco de la guerra por la Península de Crimea. De ser así, es un acto de cyberguerra.
Rusia, claro, ha negado su participación en el ataque. Y los expertos aseguran que cualquier equipo lo bastante avanzado habría podido reutilizar el código de BlackEnergy3 para este propósito. Incluso podrían haberlo dejado ahí para apuntar falsamente a los rusos. O Rusia podría estar detrás, no sería nada nuevo.
Conclusión.
¿Confundido? Bueno, la cyberguerra es así. Lo cierto es que estamos ante una ecuación bastante irresoluble. Lo complicado del ataque, lo poco que quedó para investigar, el secretismo de las agencias implicadas en el marco de una guerra muy real por la Península de Crimea y la propia tendencia de las compañías a no informar de los cyberataques que sufren (al menos otras tres fueron afectadas, pero no sufrieron "problemas operativos importantes") nos dejan al final con poco más que una secuencia de eventos que hasta hace unos años eran ciencia ficción, y una sensación algo frustrante.
Pero ha quedado demostrado que un equipo de hackers bien formados puede derribar el suministro eléctrico de un país. Bueno, de un país que tenga su suministro eléctrico informatizado. Es decir, todos.
Por cierto, la cyberguerra es una de las cosas que predijo el cyberpunk.
Suscribirse a:
Enviar comentarios
(Atom)
0 comentarios: