Industroyer, golpe al corazón de la infraestructura crítica

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

En diciembre pasado, un ciberataque en la red eléctrica ucraniana causó el corte de energía en la parte norte de Kiev, la capital del país, y las áreas circundantes, causando un apagón para decenas de miles de ciudadanos durante una hora y quince minutos alrededor de la medianoche.

Ahora, los investigadores de seguridad han descubierto al culpable detrás de esos ciberataques en los sistemas de control industrial ucranianos.

Investigadores internacionales han descubierto una nueva y peligrosa pieza de malware en la naturaleza que ataca sistemas críticos de control industrial y es capaz de causar apagones.

Conocido como “Industroyer” o “CrashOverRide”, el malware saboteador de la red probablemente se utilizará en el ciberataque de diciembre de 2016 contra la empresa eléctrica ucraniana Ukrenergo, que las firmas de seguridad dicen que representa un avance peligroso en la piratería de infraestructuras críticas.

Según los investigadores, CrashOverRide es la mayor amenaza diseñada para interrumpir los sistemas de control industrial, después de Stuxnet, el primer malware supuestamente desarrollado por EE. UU. E Israel para sabotear las instalaciones nucleares iraníes en 2009.

Este malware no aprovecha ningún defecto del software

Power-Grid-Malware

A diferencia del gusano Stuxnet, el malware CrashOverRide no explota ninguna vulnerabilidad de software de “día cero” para realizar sus actividades maliciosas; en cambio, depende de cuatro protocolos de comunicación industrial utilizados en todo el mundo en infraestructura de suministro de energía, sistemas de control de transporte y otros sistemas de infraestructura crítica.

El malware CrashOverRide puede controlar interruptores y disyuntores de la subestación de electricidad, diseñados hace décadas, lo que permite a un atacante simplemente desconectar la distribución de energía, generar fallas en cascada y causar daños más severos a los equipos.

El malware Industroyer es una puerta trasera que primero instala cuatro componentes de carga útil para tomar el control de interruptores y disyuntores; y luego se conecta a un servidor remoto de comando y control para recibir comandos de los atacantes.

 

 

Josep Verdura – Analista de Seguridad de Vintegris