Ciberatacantes de gusanos de arena destruyen la red eléctrica ucraniana durante ataques con misiles

El infame grupo ruso Sandworm de amenaza persistente avanzada (APT) utilizó técnicas de vida de la tierra (LotL) para precipitar un corte de energía en una ciudad ucraniana en octubre de 2022, coincidiendo con una andanada de ataques con misiles.

Sandworm, vinculado al Centro Principal de Tecnologías Especiales de Rusia, tiene un historial de ataques cibernéticos en Ucrania: Apagones inducidos por BlackEnergy en 2015 y 2016, el infame limpiaparabrisas NotPetya, y campañas más recientes superponiéndose con la guerra de Ucrania. Hasta cierto punto, la guerra ha proporcionado una cortina de humo para sus ataques cibernéticos más recientes y de tamaño comparable.

Tomemos un ejemplo de octubre de 2022, descrito hoy en un informe de Mandiant. Durante un aguacero de 84 misiles de crucero y 24 ataques con drones En 20 ciudades ucranianas, Sandworm sacó provecho de dos meses de preparación y provocó un corte de energía inesperado en una ciudad afectada.

A diferencia de los ataques anteriores a la red Sandworm, este no se destacó por alguna pieza de armamento cibernético avanzado. En cambio, el grupo aprovechó los binarios de LotL para socavar las cada vez más sofisticadas defensas cibernéticas de la infraestructura crítica de Ucrania.

Para el analista jefe de Mandiant, John Hultquist, esto sienta un precedente preocupante. "Tendremos que plantearnos algunas preguntas difíciles sobre si podemos o no defendernos de algo como esto", afirma.

Otro corte de energía de gusanos de arena

Aunque aún se desconoce el método exacto de intrusión, los investigadores fecharon la violación inicial de Sandworm en la subestación ucraniana al menos en junio de 2022.

Poco después, el grupo pudo superar la división entre las redes de TI y de tecnología operativa (OT), y acceder a un hipervisor que aloja una instancia de gestión de control de supervisión y adquisición de datos (SCADA) (donde los operadores de planta gestionan su maquinaria y procesos).

Después de hasta tres meses de acceso a SCADA, Sandworm eligió su momento. Coincidiendo (casualmente o no) con un ataque de guerra cinética el mismo día, utilizó un archivo de imagen de disco óptico (ISO) para ejecutar un binario nativo del sistema de control MicroSCADA. Se desconocen los comandos precisos, pero el grupo probablemente usó un servidor MicroSCADA infectado para enviar comandos a las unidades terminales remotas (RTU) de la subestación, indicándoles que abrieran los disyuntores y así cortaran la energía.

Dos días después de la interrupción, Sandworm regresó por unos segundos e implementó una nueva versión de su malware de limpieza CaddyWiper. Este ataque no afectó a los sistemas industriales (sólo a la red de TI) y puede haber tenido como objetivo borrar evidencia forense de su primer ataque o simplemente causar más interrupciones.

Rusia vs. Ucrania se está volviendo más igualado

Los ataques BlackEnergy y NotPetya de Sandworm fueron eventos trascendentales en la ciberseguridad, la historia militar y de Ucrania, y afectaron tanto la forma en que las potencias globales ven la guerra combinada cinética-cibernética como la forma en que los defensores de la ciberseguridad protegen los sistemas industriales.

Como resultado de esta mayor conciencia, en los años transcurridos desde entonces, ataques similares por parte del mismo grupo han estado muy por debajo de su estándar inicial. Hubo, por ejemplo, el segundo ataque industrial, no mucho después de la invasión: aunque el malware era igual de poderoso, si no más, que el que acabó con el poder de Ucrania en 2016, el ataque en general no logró causar consecuencias graves.

"Se puede ver la historia de este actor que intentó aprovechar herramientas como Industroyer y finalmente fracasó porque fueron descubiertas", dice Hultquist, mientras se pregunta si este último caso fue un punto de inflexión.

“Creo que este incidente demuestra que hay otra manera y, desafortunadamente, esa otra manera realmente nos desafiará como defensores porque esto es algo contra lo cual no necesariamente vamos a poder usar firmas y buscarlo en masa. ," él dice. "Vamos a tener que trabajar muy duro para encontrar estas cosas".

También ofrece otra manera de mirar la historia cibernética ruso-ucraniana: menos que los ataques de Rusia se hayan vuelto más dóciles y más que las defensas de Ucrania se hayan vuelto más sólidas.

"Si las redes de Ucrania estuvieran bajo la misma presión que están bajo ahora, con las mismas defensas que existían hace quizás una década, esta situación habría sido muy diferente", concluye Hultquist. "Tienen más experiencia que nadie en la defensa contra la ciberguerra y tenemos mucho que aprender de ellos".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/ics-ot/sandworm-cyberattackers-ukrainian-power-grid-missile-strikes