Los ciberdelincuentes preparan nuevos sabotajes a sistemas industriales críticos

Este ciberataque a la central térmica ubicada en la región ucraniana de Ivano-Frankivsk, al suroeste del país, dejó sin luz a unos 80.000 hogares durante varias horas. Fue su particular pesadilla antes de navidad y el primer ejemplo de la vulnerabilidad estatal en la antesala de las llamadas guerras híbridas.

La única forma de defenderse contra un malware como BlackEnergy es evitar infectarse, explicaban entonces los expertos. Si bien es imposible determinar con certeza su naturaleza, los objetivos apuntan a un estado nación con objetivos políticos o militares. «Los grupos criminales sofisticados no gastan el tiempo ni los recursos para atacar medios de comunicación o la infraestructura energética crítica. Esos objetivos no ofrecen la rentabilidad que los grupos criminales buscan. Por otro lado, un Estado-nación, el más probable Rusia, está detrás de los ataques. Las tácticas y objetivos encajan en su uso en el pasado de armas cibernéticas en apoyo de sus objetivos militares y políticos».

Tres años después del ataque a la central térmica ucrania, los ciberdelincuentes preparan otra ofensiva más fuerte y mejorada, ha alertado hoy Robert Lipovsky, investigador de Eset, el mayor fabricante de software de seguridad de la Unión Europea. Su equipo, liderado por uno de los mayores especialistas mundiales en la prevención de amenazas, el ruso Anton Cherepanov, ha descubierto al sucesor del grupo de BlackEnergy. En esta ocasión se trata de GreyEnergy, tal y como se ha denominado al grupo desde el laboratorio de la compañía en Bratislava (Eslovaquia).

«Hemos comprobado cómo GreyEnergy ha estado involucrado en ataques a compañías eléctricas y a otros objetivos sensibles tanto en Ucrania como en Polonia en los últimos tres años», asegura Cherepanov. El analista ha documentado también las actividades de otro grupo, Telebots, responsable de NotPetya, el malware que limpiaba el disco duro de las empresas atacadas y que afectó a organizaciones de todo el mundo en 2017.

Tal y como informó Eset la semana pasada, Telebots está conectado con Industroyer, el malware más potente del momento, que actuó contra los sistemas de control industrial y que podría estar detrás del segundo apagón masivo en Ucrania, acontecido en 2016.

«GreyEnergy comparte muchas características de Telebots, pero sus actividades no se limitan a Ucrania y, al menos de momento, no ha actuado, pero está claro que está buscando cómo hacerlo sin ser descubierto», continúa Cherepanov.

De acuerdo con las conclusiones de su investigación, GreyEnergy está íntimamente ligado a BlackEnergy y a Telebots debido a su construcción modular que provoca que sus funcionalidades dependan de combinaciones particulares en los sistemas de las víctimas. En esta ocasión, los módulos descritos por los analistas se utilizaban para realizar labores de espionaje y reconocimiento e incluyen backdoor, extracción de archivos, realización de pantallazos, keylogs y robo de credenciales y contraseñas, entre otros.

«No hemos encontrado ningún módulo que ataque específicamente a los sistemas de control industrial, pero sí que los operadores han tenido como objetivos estratégicos a estaciones de trabajo con servidores y software Scada (programas informáticos que permiten controlar y supervisar procesos industriales a distancia)», explica Cherepanov.

El descubrimiento de Eset es muy importante para que las organizaciones puedan defenderse de esta amenaza en particular, así como para entender las tácticas, las herramientas y los procesos que llevan a cabo los grupos que realizan ataques avanzados a sistemas industriales críticos para la seguridad nacional.