Industroyer2, el amperio contraataca

En 2016 el grupo de atacantes denominado como Sandworm, hizo uso de un malware diseñado para atacar subestaciones eléctricas, el cual se denominó como Industroyer. Este malware fue capaz de dejar sin electricidad a parte de Kiev en pleno invierno. Tras este ataque, el investigador de malware Anton Cherepanov, perteneciente a ESET, realizó un trabajo de investigación sobre las capacidades, métodos y técnicas utilizadas por el malware.

 
- Resumen visual del ataque ejecutado por Industroyer -

Anton Cherepanov determinó que el malware Industroyer había conseguido expandirse a lo largo de toda la red de la subestación en busca de dispositivos de control industrial que tuviesen protocolos de comunicación muy específicos. Dentro de los objetivos principales del malware, se encontraban la desactivación de los relés de protección, la apertura de los disyuntores y la eliminación del rastro creado por el propio malware. Cabe destacar que en la única ocasión en la que se ejecutó Industroyer, algunas de sus funcionalidades fallaron, por lo que el daño final fue menor de lo que debería haber sido.

En abril de 2022 se detecta un nuevo ataque con rasgos similares a los empleados en el Industroyer. Esto es destacable debido a que los ataques dirigidos a entornos TO no son comúnmente reutilizados, pero en este caso, una nueva versión del primer malware se volvió a ejecutar contra otra víctima similar. Este nuevo malware, se conoce como Industroyer2 y está considerado como una actualización del antiguo malware, con un carácter más personalizable, permitiendo adaptarlo a nuevos objetivos más específicos. 

La aparición del Industroyer2 refuerza la idea de que el malware TO se puede readaptar para su uso contra diferentes víctimas dentro del espacio industrial, pero esto, no ha impedido que diferentes medidas de seguridad implementadas en los sistemas industriales hayan conseguido mitigar o detener gran cantidad de ataques. Este fue el caso de Industroyer2, cuya mitigación fue posible gracias a la investigación realizada sobre su antecesor.

En la siguiente ilustración, se pueden apreciar claramente las diferencias entre ambas versiones. A destacar, la utilización de un único protocolo, como bien se ha mencionado anteriormente, la simplicidad del malware en su segunda versión, debido a que es más específico, y la utilización de otros tipos de malware, como CaddyWiper, para la destrucción de rastros e información del Industroyer.

- Comparación a nivel visual de las piezas malware -

En las entrañas de Industroyer2

El malware Industroyer2 es similar a su predecesor, pero su rango de acción es mucho menor, lo que lo vuelve más personalizable. Esta nueva característica, permite centrar el ataque en estructuras más específicas y funcionar de una forma más eficaz. 

Existen grandes diferencias entre ambos malware, siendo estas las principales:

• Industroyer2 es autónomo y solo realiza la implementación del protocolo de comunicaciones IEC 60870-5-104 (IEC-104). Este protocolo se emplea para monitorizar y controlar sistemas RTU a partir de los cuales se llega por medio de TCP/IP al control de los sistemas de energía de las subestaciones.
• Industroyer2 se considera un malware altamente configurable, cuyo código base parte del código de su versión anterior. Contiene configuraciones codificadas en las líneas de código y una lista de direcciones de objetos de información (IOA) que permitirán al atacante cambiar el estado de la estación remota asociada con dicha lista de direcciones. Esta IOA identifica un elemento de datos específico de un dispositivo y se puede asociar con un interruptor de la línea de alimentación, con un disyuntor o con la configuración del estado de un relé.

Estas nuevas funcionalidades permiten al operador establecer parámetros de configuración muy específicos. En la siguiente ilustración, se pueden ver algunos de esos parámetros:

- Código y parámetros del Industroyer2 -

Como se puede observar en la imagen, esta nueva versión ha permitido al operador definir claramente la dirección IP objetivo, el puerto a través del protocolo IEC-104 y TCP sobre el que se quiere realizar el ataque, las subestaciones (mediante un ejecutable) y la lista de objetos sobre las que irán dirigidas las peticiones y que permitirán realizar modificaciones en los valores de los dispositivos.

La ejecución es sencilla, inicialmente Industroyer2 lanzará diferentes mensajes de función de control, verificará la comunicación y comprobará que la estación remota responde. Una vez se tiene abierta la comunicación, el malware procederá a abrir un canal para la transferencia de datos con la estación remota y, tras enviar el comando para permitir la transferencia de datos, el canal estará disponible. Todo esto conlleva que, el envío de comandos a través del protocolo IEC-104 ya es posible y, por lo tanto, el control del estado de las señales digitales de los dispositivos finales.

Implicaciones de estos virus

Tras los ataques realizados por el grupo Sandworm, se puede deducir que esto no es más que el inicio de una variante de malware, cuyos objetivos serán infraestructuras industriales de elevada criticidad. Una ejecución satisfactoria de una nueva versión del Industroyer o del Industroyer2 en un entorno de producción, puede llegar a suponer interrupciones de procesos industriales de vital importancia, sin importar el proceso industrial concreto, ya que como se ha visto, la flexibilidad que ahora proporciona la configuración del Industroyer2, hace de este tipo de malware un quebradero de cabeza para cualquier equipo de defensa de un sistema industrial. 

Estas infraestructuras industriales, ya sean normales o críticas, han de estar a la vanguardia en información sobre ataques, equipos de defensa y prácticas de Red Team, Blue Team y Purple Team, además de comprobar las tácticas y técnicas empleadas por los atacantes en los sistemas de control industrial para poder mitigar o detener posibles intrusiones en sus sistemas.

Contramedidas ante Industroyer e Industroyer2

Algunas de las contramedidas recomendadas para prevenir este tipo de ataques son las listadas a continuación:

• Aplicar las reglas de YARA para generar alertas en caso de detectarse indicadores de compromiso de Industroyer o Industroyer2.
• Implementar herramientas de detección de anomalías y corta fuegos por toda la red para prevenir la ejecución o propagación de este tipo de malware.
• Se recomienda hacer uso de herramientas de control de inventariado y descubrimiento de activos en la red que permitan administrar los sistemas de control y notificar sobre posibles ataques en cada uno de ellos.
• Implementar una política de aprendizaje continuo donde tanto el equipo encargado de la ciber defensa de la empresa, como los diferentes dispositivos de seguridad se encuentren actualizados en base a la información de nuevas amenazas sobre sus infraestructuras.
• Establecer un plan robusto de respuesta ante un incidente de ciber seguridad sobre cualquier infraestructura de la empresa. Además, se recomienda realizar ejercicios de Red Team de forma periódica para poner a prueba y analizar la efectividad del plan de respuesta ante un incidente establecido.

Estas son algunas de las contramedidas recomendadas, pero la plena implementación de ellas no exime a una organización de verse afectada por un ataque de ciberseguridad. Sin embargo, reduce en gran medida el porcentaje de consecuencias críticas en caso de que un ciberataque se perpetúe. 

Conclusión

El mundo de los entornos industriales se ve más amenazado que nunca y esto no ha hecho más que empezar. Estas nuevas amenazas sobre los entornos industriales han roto la barrera entre lo cibernético y lo real, siendo así una amenaza para la propia vida de las personas, dadas las enormes consecuencias que puede tener un ataque ejecutado de forma correcta sobre estas infraestructuras.

Sin embargo, no todo va a ser catastrófico y apocalíptico, ya que por otro lado se encuentran los equipos de ciberseguridad, analizando todo este tipo de malware y desarrollando contramedidas para los ataques conocidos e incluso para el que aún no está desarrollado. Es por ello que es tan importante que los equipos de ciberseguridad de cada empresa inviertan tiempo en formación y aprendizaje, además de añadir inteligencia a los diferentes dispositivos de seguridad desplegados por la red.