Fuxnet: el malware que paralizó sistemas SCI

Fecha de publicación 26/09/2024
Autor
INCIBE (INCIBE)
Portada de blog Fuxnet: El malware que paralizó sistemas SCI

En los últimos años, el sector industrial ha enfrentado una creciente amenaza de ciberataques. Estos ataques van más allá de simples intrusiones digitales, ya que tienen el potencial de interrumpir el suministro de servicios básicos, como electricidad y agua, además de paralizar por completo las operaciones de una empresa. Incluso una interrupción breve puede tener consecuencias devastadoras, lo que resalta la necesidad urgente de fortalecer la ciberseguridad en el ámbito industrial.

Es importante destacar que llevar a cabo estos ciberataques se ha vuelto cada vez más difícil. Muchas de estas infraestructuras no están directamente conectadas a Internet, lo que se conoce como ‘seguridad por oscuridad’, o tienen conexiones externas que están muy bien securizadas y controladas.

En los últimos días, el grupo de hackers Blackjack hizo pública la información del ciberataque que realizó con el malware Fuxnet contra la empresa Moscollector. Esta empresa tiene su sede en Moscú y se encarga de la construcción y la vigilancia de redes subterráneas, infraestructuras de agua, alcantarillado y comunicaciones. Fuxnet es una evolución del famoso malware Stuxnet.

Por la información proporcionada por Blackjack, deducimos que el malware probablemente se implementó de forma remota. Una vez desplegado, sus objetivos eran los siguientes:

  • Bloquear los dispositivos. Esto se logra cerrando servicios de acceso remoto, como ssh, http, telnet y SNMP. De esta manera, se vuelve imposible detener el ataque de forma remota. 
  • Destruir archivos y directorios importantes. Los atacantes eliminaron servidores, estaciones de trabajo y bases de datos, llegando a eliminar 30 TB de datos. Además, eliminaron la tabla de enrutamiento para dejar inoperable su capacidad para comunicarse con otros dispositivos. También, consiguieron hacerse con información sensible de las bases de datos.

- Información volcada de bases de datos. Fuente. -

  • Destruir memorias NAND. La memoria flash NAND es un tipo de memoria utilizada en una gran variedad de dispositivos, incluyendo ordenadores y móviles. A diferencia de otras formas de almacenamiento, la memoria NAND no requiere corriente continua para conservar los datos, lo que la hace altamente popular por su facilidad de reprogramación y bajo costo por terabyte de almacenamiento. Sin embargo, presenta un inconveniente significativo y es que tiene un número limitado de ciclos de escritura. Fuxnet aprovecha esta vulnerabilidad al reescribir repetidamente la memoria NAND hasta que se deteriore por completo, dejando el chip inutilizable.
  • Destruir el volumen UBI. Esto se hace para evitar que el sensor se reinicie. Esto se consigue reescribiendo el volumen UBI. Este volumen espera a que se le pase un número determinado de bytes, pero el malware le pasa un número menor de lo que espera haciendo que el dispositivo espere de forma indefinida a que finalice.
  • Denegación del servicio de monitorización. Los datos de monitorización son registrados por sensores conectados a la puerta de enlace a través del canal RS485/Meter-Bus. Fuxnet escribe repetidamente datos aleatorios en el canal Meter-Bus impidiendo que los sensores y la puerta de enlace envíen y reciban datos.

- Diagrama funcionamiento Meter-Bus. Fuente. -

Blackjack afirma haber comprometido 87.000 dispositivos, pero en base al punto anterior, se asume que en realidad solo infectaron las puertas de enlace de los sensores e intentaron causar más daños inundando el canal Meter-Bus que conecta los diferentes sensores a la puerta de enlace. Esto resultó en la inutilización de las puertas de enlace y no de los sensores finales.

El alcance del ataque fue muy amplio, afectando a los sensores y comprometiendo las puertas de enlace de sensores, enrutadores, software de gestión (paquete de software SBKManager) y el sistema de monitorización de sensores.

Un ataque a un servicio esencial puede causar una amplia gama de daños, que van desde interrupciones en la prestación de servicios, hasta situaciones de emergencia y peligro para la vida de las personas. Por ejemplo, en el caso de hospitales, un ataque cibernético puede paralizar sistemas críticos como los de gestión de pacientes, registros médicos electrónicos o equipos médicos conectados a la red, lo que podría retrasar o impedir el acceso a la atención médica necesaria. En el caso de aeropuertos, un ataque podría interferir con los sistemas de control de tráfico aéreo, provocar cancelaciones de vuelos, e incluso poner en riesgo la seguridad de los pasajeros y la tripulación. En resumen, los daños de un ataque a un servicio esencial pueden ser altamente significativos y tener repercusiones graves en la seguridad física o salud de las personas y en la sociedad en general.

Para prevenir este tipo de ataques, se pueden implementar varias contramedidas, entre las que se incluyen:

  • Segmentación de redes (M0930 de MITRE ATT&CK ICS Mitigations): dividir la red en segmentos más pequeños y restringir el acceso entre ellos puede limitar la propagación del malware en caso de una intrusión.
  • Firewalls y filtrado de paquetes (M0937 de MITRE ATT&CK ICS Mitigations): configurar firewalls para controlar y filtrar el tráfico de red entrante y saliente puede ayudar a bloquear actividades maliciosas.
  • Autenticación fuerte (M0804 y M0932 de MITRE ATT&CK ICS Mitigations): implementar medidas de autenticación robustas, como contraseñas seguras y autenticación de múltiples factores, puede evitar que los atacantes accedan a sistemas y dispositivos de manera no autorizada.
  • Monitorización de red: utilizar herramientas de monitorización de red para detectar actividad sospechosa y comportamientos anómalos puede ayudar a identificar y mitigar rápidamente posibles ataques.

- Monitorización de red. Fuente. -

  • Formación y concienciación del personal: capacitar al personal en prácticas de seguridad cibernética y concienciarlos sobre los riesgos asociados con el phishing, la ingeniería social y otras tácticas de ataque puede reducir la probabilidad de éxito de los ataques dirigidos al factor humano.
  • Respuesta ante incidentes: desarrollar y practicar planes de respuesta ante incidentes puede ayudar a minimizar el tiempo de inactividad y reducir el impacto en caso de un ataque exitoso.

Implementando estas contramedidas, junto con una estrategia de defensa en profundidad, las organizaciones pueden fortalecer su postura de seguridad y reducir significativamente el riesgo de ser víctimas de ataques como el mencionado.

Conclusión

El caso del malware Fuxnet destaca la sofisticación y el potencial devastador de los ciberataques dirigidos a infraestructuras críticas. Este artículo ha subrayado la importancia de comprender las tácticas y objetivos de tales amenazas, así como la necesidad urgente de fortalecer la ciberseguridad en el ámbito industrial. Con el conocimiento obtenido al estudiar los ciberincidentes ocurridos en el pasado y adoptar medidas preventivas y proactivas, las organizaciones pueden mejorar su capacidad para detectar, contener y mitigar los impactos de futuros ataques similares.

Etiquetas