Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Amenazas emergentes en sistemas de control industrial

Fecha de publicación 23/08/2018
Autor
INCIBE (INCIBE)
Amenazas SCI

Amenazas que afectan a los sistemas de control industrial

Los sistemas de control industrial son, cada vez con más frecuencia, objetivo de ataques por parte de usuarios malintencionados que buscan un provecho en sus acciones. Pero no solo eso, incidentes como Stuxnet demuestran que estos ataques no son aleatorios y que son llevados a cabo por profesionales bien cualificados y con unos objetivos muy concretos. Algunos de los últimos grandes ataques registrados han tenido un importante impacto mediático por afectar a grandes compañías, principalmente en la parte corporativa de sus redes, pero también en los sistemas de control, aunque no haya tenido la misma repercusión. A continuación, vamos a repasar algunos incidentes con estos ataques y sus repercusiones sobre los sistemas.

BlackEnergy

Se conoce como BlackEnergy al primer ataque exitoso conocido contra una red de distribución eléctrica, en este caso la red eléctrica de Ucrania, a finales de 2015. BlackEnergy no es un malware nuevo sino un virus bien conocido cuya versión utilizada en este incidente difiere de la versión original del mismo. En su origen era un troyano utilizado como herramienta para la creación de botnets encargadas de la realización de ataques de denegación de servicio. En su última versión, la utilizada en el incidente, BlackEnergy evoluciona hasta convertirse en un APT (Amenaza Persistente Avanzada) incluyendo un módulo de Killdisk y permitiendo su ejecución en sistemas SCADA. El vector de infección fue un ataque de spear phishing  con el que se enviaron correos que contenían un documento de Word mediante el que se engañaba al usuario para permitir la ejecución de una macro maliciosa que instalaba el malware. Una vez instalado, ejecutaba su módulo de KillDisk borrando archivos del sistema y corrompiendo el MBR inutilizando el sistema.

Crashoverride

Crashoverride, también llamado Industroyer, es un malware diseñado específicamente para atacar el sistema de distribución energética de Ucrania y del que ya hablamos en profundidad en “CrashOverride: El malware para SCI ataca de nuevo”.
Su principal característica es que utiliza funcionalidades de otros 3 famosos malwares industriales como son Stuxnet, HAVEX/Dragonfly, y BlackEnergy2. Copia a Stuxnet en la forma en la que entiende el proceso industrial para conseguir interrumpirlo, de HAVEX/Dragonfly el mapeo de la arquitectura del sistema utilizando OPC, y, por último, al igual que BlackEnergy2 revisa librerías y archivos de configuración de HMI para comprender el entorno en el que se encuentra e intentar conectarse a internet siempre que sea posible.

Triton

Triton, Trisis o Hatman, dependiendo de la fuente consultada, es un malware diseñado para atacar elementos de protección de Schneider Electric. En concreto el modelo Triconex es ampliamente usado en la industria energética, desde instalaciones nucleares hasta plantas de petróleo y gas. Es el último malware conocido diseñado para atacar específicamente sistemas industriales.
El ataque se produjo mediante la obtención de acceso remoto a una estación de ingeniería SIS (Sistema instrumentado de seguridad) con el consecuente despliegue de Triton, buscando obtener el control del sistema SIS. Esto provocó que estos dispositivos, posiblemente por un fallo del malware, entraran en “modo prueba” apagando completamente la central que se vio afectada por el malware, cuyo sector y localización no ha sido revelado, aunque se cree que se produjo en Arabia Saudí.
El ataque no ha sido atribuido todavía pero se cree que, por el nivel de sofisticación del mismo y el objetivo concreto, el ataque está patrocinado por alguna nación. Esto cataloga a Triton como posible parte o prueba de una ciberguerra.

Wannacry

Probablemente Wannacry sea uno de los incidentes de seguridad más conocido de los últimos tiempos por su rápida expansión y el impacto que produjo sobre los sistemas corporativos de muchas empresas. Aunque no dentro de su objetivo principal, también llegó a afectar a numerosos sistemas de control industrial, infectando equipos Windows que manejaban el software de control industrial.
Wannacry es un ransomware caracterizado por la facilidad de propagación sin necesidad alguna de la interacción del usuario, utilizando una vulnerabilidad de Microsoft Windows y el protocolo SMB conocida como EternalBlue. La principal característica de Wannacry y lo que lo diferencia de otros malware similares es que un sistema se puede infectar con Wannacry sin la necesidad alguna de interacción por parte del usuario.
¿Y por qué  afectó Wannacry a los sistemas de control industrial y en general a entornos TO cuando el ataque no se encuentra dirigido a ellos? Muchos sistemas de planta (HMI, estación de ingeniería, etc.) utilizan Windows como plataforma y el protocolo SMB para la comunicación y la compartición de carpetas, viéndose afectados también por la vulnerabilidad EternalBlue. También se ha de tener en cuenta la falta de parcheo de muchos de equipos (hecho agravado en TO, donde el parcheo de los equipos es más difícil) unido a la falta de implementación de una correcta segmentación, favorecieron la infección de los equipos, dando lugar a la paralización de muchos procesos.

NotPetya

NotPetya es un malware wiper que simula ser un ataque de ransomware, pero cuya finalidad es dañar irreparablemente el sistema y, al igual que Wannacry, aunque su destino principal no eran los sistemas industriales, éstos también se vieron afectados.
Inicialmente se catalogó como una evolución del virus Petya, sin embargo, desde la compañía Kaspersky se insiste que es un virus completamente nuevo, apodándolo como NotPetya.
El principal foco del ataque fue, una vez más, Ucrania, afectando a diversas estructuras críticas desde energéticas hasta el aeropuerto de Boryspil. Su situación de continua tensión con Rusia ha hecho que se acuse a este último como el autor del mismo pudiendo catalogarlo como parte de una ciberguerra.
Este virus simula ser un ataque de ransomware mostrando al usuario un mensaje de rescate, pero en verdad, pagado el rescate o no, el sistema no se descifra nunca. En lugar de cifrar los ficheros como un ataque de ransomware común, NotPetya reinicia el equipo y cifra la tabla maestra de archivos del disco duro y hace que la partición encargada de arrancar el sistema quede inutilizable al reemplazarlo con un código que muestra el aviso del rescate dejando el sistema operativo totalmente inservible. Para su propagación utiliza la vulnerabilidad EternalBlue, al igual que Wannacry.

Concienciación como medida de protección

Si hay algo que tienen en común la mayoría de los ataques de mayor repercusión es que se aprovechan de vulnerabilidades ya conocidas y publicadas. Teniendo en cuenta que todas estas vulnerabilidades una vez que son publicadas van acompañadas habitualmente de la solución pertinente, que acostumbra a ser un parche de actualización del sistema, es de vital importancia que estas actualizaciones sean aplicadas con la mayor rapidez posible, evitando así el aprovechamiento de vulnerabilidades públicas y, por lo tanto, explotables por cualquiera.
Otro punto muy importante a tener en cuenta es que el vector principal de entrada de estos ataques es el humano. Sin una formación de seguridad adecuada de todos los usuarios de una empresa para evitar, por ejemplo, un ataque de phishing, es imposible evitar que éstos sucedan. Cualquier herramienta de seguridad es irrelevante si un usuario se descarga voluntariamente, aunque sea de forma accidental, un fichero malicioso sin saber la verdadera funcionalidad del mismo.
En resumen, la mejor medida de protección es siempre una concienciación en seguridad a nivel global de la empresa para evitar caer fácilmente en ataques como los mencionados.

Otras medidas de protección adicionales

Pero la concienciación sola no siempre es suficiente y se han de desplegar todas las medidas posibles (monitorización de red, segmentación de red, antivirus, antispam, etc.) para evitar cualquier ciberincidente o, en caso de no haber podido evitarlo, aplicar todas las medidas de mitigación y contención que estén a disposición para minimizar al máximo su impacto.
Una correcta segmentación de red es de vital importancia para evitar la propagación de cualquier posible amenaza y que afecte a la cantidad mínima de equipos posible.
Otra acción muy importante es llevar una monitorización del tráfico de nuestra red, detectando, de esta manera, comportamientos anómalos en la misma que pudieran ser debidos a un malware, para así identificarlo y llevar a cabo las medidas consecuentes.
Los ataques dirigidos a sistemas de control industrial están a la orden del día y su consecuencia es severa. También, al producirse cada vez más una convergencia entre TI y TO, un ataque dirigido a TI puede impactar en infraestructuras críticas. Lo importante es aprender de errores pasados para evitar que se repitan y, sobre todo, estar preparados para los posibles incidentes futuros.

Etiquetas