Industroyer o el nuevo entorno de desarrollo específico de malware para sistemas de control industrial
En diciembre de 2016 la infraestructura de gestión energética en Ucrania fue objeto de un ciber ataque, ESET ha descubierto y denominado que el malware que realizó ese ataque se llama Industroyer...
Hace ya 7 años que Stuxnet dio la cara afectando gravemente a los sistemas de control industrial. Como es conocido, esta APT fue específicamente desarrollada para atacar el sistema distribuido de Siemens PCS7, la serie S7 de PLCs y el SCADA WinCC. Se contabilizaron hasta un total de 22 plantas y más de 100.000 PCs infectados, aunque el caso más conocido es el que afectó a las plantas de enriquecimiento de uranio de Irán, en particular la Central Nuclear de Bushehr y el Complejo Nuclear de Natanz.
Por otro lado, en diciembre de 2016, la infraestructura de gestión energética en Ucrania, fue objeto de un ciberataque dejando sin luz durante 72 minutos a la quinta parte de la red eléctrica de este país (afectando a más de 250.000 hogares). Este ataque ha sido objeto de análisis y estudio y recientemente, ESET ha descubierto y denominado que el malware que realizó este ataque se llama Industroyer (la casa Dragos lo ha denominado CrashOverride).
Si echamos un vistazo a los vectores de ataque que utilizaba Stuxnet para afectar a los sistemas de control industrial, podemos observar que Industroyer, utiliza medios parecidos.
- Mediante técnicas de ingeniería social o similares, es capaz de instalar un Backdoor en los sistemas de tiempo real que gestionan la red de distribución eléctrica.
- Industroyer se compone de 4 Pay-Loads que permiten acceder a los propios “Power Circuit Breakers”, es decir a unos dispositivos (tipo switches) que se instalan en las redes eléctricas para evitar sobre cargas. En la figura 1, extraída del documento generado por ESET, se describen dichos Pay-Loads.
- Aprovecha las vulnerabilidades típicas de protocolos específicos (que no incorporan seguridad) que convergen en el “Smart Grid” como son: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 y OPC DA.
- La comunicación con el C&C se realiza de forma anonimizada, utilizando la red Tor para ello.
- Tiene capacidad para estar “desactivado” durante un tiempo, para que como ocurría con Stuxnet, se activara en un momento determinado.
- Se trata de un malware modular. ¿Significa esto que estamos delante de un entorno de desarrollo específico de malware para sistemas de control industrial? Sinceramente, creo que si. De hecho, ESET ha constatado que alguno de los Payloads puede afectar a algunos sistemas de control de ABB y al dispositivo SIPROTECT de Siemens, dispositivo típico que se despliega en subestaciones eléctricas.
Hoy es Industroyer, y mañana será otra APT que puede afectar de forma masiva a infraestructuras críticas. Si quieres conocer qué soluciones tecnológicas puedes incorporar en tu entorno de operación para incrementar su ciber resiliencia, te recomendamos que nos acompañes durante la Conferencia Ciberseguridad en la Industria 4.0 e Infraestructuras Críticas. ¡¡Te esperamos!!
Para más información sobre Industroyer, te recomendamos que leas este artículo generado por el fabricante ESET o bien te pongas en contacto con nosotros para poder ayudarte!
