Lo que se aprende del incidente eléctrico ocurrido en Ucrania es una clara lección de la falta de procedimientos de seguridad aplicados a la ingeniería social.

El pasado diciembre, Ucrania se vio afectado por un apagón eléctrico de alta importancia debido a un cyber-ataque bien planificado, el cual muchos lo relacionan directamente con el gobierno ruso o que ha sido auspiciado por Rusia debido al conflicto que mantienen entre ambos países.

Según expertos del instituto SANS, quienes en colaboración con el NERC y basados en los detalles revelados por el ICS-CERT e información pública, los atacantes lograron hacerse de las credenciales para ingresar y manipular los sistemas de control del sistema eléctrico nacional en tres de sus redes en Ucrania, logrando apagar varias plantas de generación de electricidad el día 23 de diciembre 2015.

Estos atacantes, recolectaron información confidencial por más de 6 meses, lo cual les permitió elaborar un singular plan de infiltración, no sólo del sistema de control de las plantas, sino además, conseguir el control del flujo de la data de la VPN, apagar los sistemas de UPS que alimentaban a los servidores, generar cientos de llamadas a la centrales telefónicas para congestionarlas, cambiar el firmware de los adaptadores Lan-Serial para evitar que estos se reiniciaran en caso de una falla eléctrica, logrando su objetivo final.

El ingreso inicial se realizó mediante el envío a los correos de algunos empleados, de un documento de Word y Excel, mediante la suplantación de la identidad del remitente, acción conocido como “phishing email”, en estos anexos se logró inyectar un malware llamado “BlackEnergy”, con el cual consiguieron las credenciales de los usuarios legítimos del sistema eléctrico.

Al tener las credenciales de la VPN, tuvieron la oportunidad de alcanzar la red de los sistemas industriales, y a las herramientas del control de los instrumentos, bajando los breakers principales.

Además, los atacantes no solamente cubrieron su ataque, sino que obtuvieron tiempo extra para borrar los MBR de los discos duros, eliminar ciertos logs, borrar sistemas operativos en terminales remotos, desconectar los sistemas UPS de respaldo y congestionar las líneas telefónicas.

La cuestión principal en este asunto es que, teniendo el conocimiento necesario, con las herramientas adecuadas y la supervisión de las comunicaciones, este ataque pudo haberse prevenido, detectado y evitado a tiempo. Pues hay las herramientas gratuitas para el monitoreo seguro de la red “NSM”, como el Wireshark, NetworkMiner, Bro, o Snorby, que, en conjunto con un buen procedimiento del uso de estas herramientas, les habría advertido de un tráfico inusual de la VPN, cambios de ciertos archivos o actualizaciones no planificadas.

Quedan las preguntas relacionadas a este incidente, si el ataque solamente fue realizado para demostrar que lo podían hacer, crear caos dentro de la población, o permitir otro tipo de acción militar donde era de extrema importancia que no hubiera energía eléctrica en ese momento.

Con esto queda claro que existen muchas deficiencias dentro de organizaciones o instituciones que proveen de servicios públicos de importancia y que con determinación son susceptibles de ser interrumpidos por quien se lo proponga, mientras le permitan abrirse camino entre las barreras de seguridad mal administradas.

Esto va también con los servicios privados, las empresas de alta relevancia, personas influyentes a nivel regional, nacional o internacional, pues cualquiera es un blanco para cualquier amenaza, sea para chantajear, por motivos ideológicos, religiosos o de terrorismo, y por ello deben adecuarse a una realidad mundial que es el cyber-ataque.

 

Lecciones de Ucrania

Deja un comentario

Le gusta el blog? Difúndalo al mundo :)