Las claves de los últimos ataques en sistemas de control industrial

Incidentes en los últimos años

En los últimos años se han detectado multitud de ciberataques a infraestructuras críticas, las cuales siempre están en el punto de mira de gobiernos, cibercriminales y hacktivistas.

Detrás de la mayoría de estos ciberataques suele haber una amenaza persistente avanzada, más conocida por sus siglas en inglés APT (Advanced Persistent Threat).

La evolución de los ciberataques ha ido desde el típico malware orientado a los sistemas de tecnología de la información con distintos fines, hasta las grandes operaciones contra infraestructuras críticas donde se utiliza malware modular avanzado que se aprovecha de vulnerabilidades en protocolos industriales como IEC 104 o IEC 101.

Durante estos años, los ciberataques contra infraestructuras críticas han ido en aumento, y los medios empleados han sido cada vez más sofisticados y avanzados. Esto lleva a suponer que, en los próximos años, los ciberataques contra la industria y servicios críticos irán en aumento, por lo que es necesario contar con mecanismos y contramedidas para proteger los sistemas críticos.

Factores en común

Hace 11 años, allá por el 2009, se detectó uno de los primeros ataques contra compañías petroquímicas, de gas y petróleo, conocido como Night Dragon, dentro de la denominada ‘Operación Aurora’. Su principal objetivo era realizar tareas de espionaje y robo de información sensible, para su posterior venta.

El vector de ataque fue comprometer diferentes sitios webs públicos (Public-facing Web Servers), mediante inyección de comandos SQL (SQL-injection), para instalar malware. Posteriormente, desde esos servidores se atacaba a servidores internos de las compañías, aprovechándose de vulnerabilidades conocidas en Windows. Así mismo, también se realizó una campaña de spear-phishing (e-mail especialmente diseñado y dirigido a un perfil concreto), contra algunos usuarios para obtener credenciales de acceso a redes privadas (VPN). Aunque su principal objetivo era acceder a los ordenadores de la junta directiva para obtener información confidencial.

Un año después, en 2010, Kaspersky Lab detectó el famoso malware Stuxnet cuya única misión era inhabilitar las plantas nucleares iraníes. Esta APT es considerada la primera ciberarma desarrollada contra instalaciones de sistemas de control industrial.  
El vector de ataque utilizado fue la propagación de malware usando memorias USB, que se aprovechaba de varias vulnerabilidades de tipo 0-day del sistema operativo Windows. Una vez infectado el sistema, modificaba diferentes parámetros de la programación del control del PLC, del fabricante Siemens, con el fin de dejar fuera de servicio las turbinas de la planta nuclear.

Según algunos investigadores, se cree que el equipo que desarrolló este malware también creó Duqu, un APT cuya estructura interna y funcionalidad era muy similar a Stuxnet y que fue detectado en 2011. El modus operandi era similar, a pesar de que esta vez el vector de infección era mediante un documento ofimático adjunto a un correo electrónico, nuevamente spear-phishing. Este documento contenía varios exploits que se aprovechaban de vulnerabilidades 0-day en Windows. El vector de infección volvía a aprovechar la debilidad del componente humano debido a carencias de concienciación y formación.

El principal objetivo era infectar y obtener información de los sistemas SCADA de las empresas de Oriente Medio. Cabe destacar que, entre sus funcionalidades, este APT se caracterizaba por la capacidad de robo de credenciales y claves digitales (certificados) para instalar módulos más complejos, con el fin de evitar la detección y continuar con la propagación tanto por red, como usando medios extraíbles tipo memorias USB.

- Vectores de ataque y técnicas utilizadas en los incidentes más representativos -

El mismo año, en un análisis forense se detectó el malware más complejo jamás creado hasta la fecha, denominado Flame, cuyo tamaño del módulo principal era de 6 MB.

Este APT estaba orientado a recabar información de compañías de petróleo y gas de Oriente Medio y Europa. Una vez más, la vía de infección era mediante spear-phishing o memorias USB. Entre sus funcionalidades destaca la activación de webcam y micrófonos, geolocalización de fotografías y la autopropagación vía red local y USB.

A principios del año 2013 se descubrió que el grupo DragonFly lanzó una serie de campañas de malware contra empresas energéticas de Estados Unidos y Europa. En primera instancia, el grupo utilizaba spear-phishing como principal vía de infección, pero posteriormente, usaron técnicas como Watering Hole comprometiendo webs de confianza y webs de diferentes fabricantes de software industrial. De esta forma, modificaron dichas soluciones para inyectar código malicioso en aplicaciones legítimas. El objetivo principal era atacar, analizar y obtener información, valiéndose del protocolo OPC, en las empresas infectadas. En el año 2017 la actividad de este grupo volvió a tomar fuerza y, según diferentes investigaciones, han evolucionado tanto en los mecanismos de distribución e infección, como la complejidad del malware en sí mismo.

Durante el año 2015 se detectaron dos APT nuevas altamente sofisticadas, se tratan de BlackEnergy y CrashOverride. En ambos casos, el vector de infección fue un correo electrónico que contenía un documento office malicioso como adjunto, casi siempre un documento Excel con macros. Estos dos APT tenían como objetivo a la industria eléctrica de Europa del Este y Norteamérica. Su principal factor en común era que pretendían conseguir una denegación de servicio en la industria infectada mediante sabotaje.

En el caso de CrashOverride, el malware era exclusivo de los sistemas TO, ya que atacaba protocolos específicos del sector como IEC 101, IEC 104, IEC 61850 (estos 3 exclusivos de los sistemas eléctricos) y OPC DA. Además, también era capaz de borrar los archivos y registros generados durante la infección para evitar su detección a través de diferentes características y módulos wipe (módulo destinado a borrar partes del disco duro, para dejarlo sin posibilidad de arranque).

Finalmente, durante el último año, 2017, se detectó el APT Triton (también llamado Trisis o Hatmat según la referencia que se lea) que, del mismo modo que Stuxnet, utilizó la propagación USB como principal vía de infección. Empresas de Europa del Este se vieron afectadas por este malware cuyo principal objetivo era cambiar el comportamiento de determinados equipos de protección (productos Triconex de Schneider Electric) para que se detuviera la producción o se causaran daños mayores en la propia instalación física en caso de fallo.

Contramedidas

La detección de estos ataques es de extrema dificultad y constituyen uno de los peligros más importantes y de mayor expansión a los que se enfrentan los profesionales de seguridad.

En muchas ocasiones, se utilizan vectores de ataque únicos y novedosos, capaces de evadir los sistemas de defensa tradicionales e incluso es posible que permanezcan ocultos durante largos periodos de tiempo dentro de las redes de control.

A pesar de ello, se ha visto que uno de los principales medios de infección es mediante correo electrónico (spear-phishing) o mediante dispositivos externos como USB. Con lo que significa que, una vez más, el vector de infección afecta al eslabón más débil, el personal que trabaja en contacto directo con los equipos y sistemas.

Por último, a día de hoy es fundamental proporcionar a los profesionales de seguridad, administradores de sistemas y demás responsables tecnológicos, el conocimiento necesario sobre cómo detectar una APT en su infraestructura.

Los vectores de infección más utilizados por las principales APT comentadas hacen uso de elementos que podrían ser controlados y, por lo tanto, mitigado el vector de ataque gracias a la aplicación de bastionado. Aplicar ciberseguridad de manera transversal a toda la organización, desde formación específica de seguridad a todos los empleados de la empresa, concienciación, así como conceptos y técnicas de seguridad como defensa activa y threat intelligence, es clave para prevenir futuros ataques.

La compartición de información, y lo más importante conocer cómo tratarla, para convertirla en medidas de seguridad aplicable contra los vectores de ataque utilizados por los diferentes actores en el pasado, debería ser parte de la ciberseguridad industrial.  
Igualmente, es esencial el correcto bastionado de dispositivos, segmentación y control de los sistemas y redes, accesos de todas las personas, etc., mediante los correspondientes análisis de valoración de riesgos.