El pasado 23 de diciembre los habitantes de la región ucraniana de Ivano-Frankivsk se quedaron sin electricidad durante varias horas. Pero no fue un corte de energía al uso, sino que fue provocado por un troyano que atacó los sistemas de la central eléctrica. La compañía de seguridad ESET fue la que descubrió que, efectivamente, se trataba de un ciberataque, que no sólo atacó compañías eléctricas, sino que también afectaron a diversos ministerios del país.
Pesadilla antes de Navidad
23 de diciembre, un día antes de
Nochebuena. Aproximadamente la mitad de la población de la zona
Ivano-Frankivsk, en el suroeste de Ucrania, sufre un apagón durante varias horas.
En un principio se pensaba que era un accidente aislado que afectaba a
los clientes de la compañía eléctrica TNS. Sin embargo, otras compañías
eléctricas estaban siendo afectadas al mismo tiempo. ¿La causa? Las centrales estaban siendo atacadas por cibercriminales, que estaban usando un troyano de puerta trasera. Mediante este troyano, denominado BlackEnergy, los ciberdelincuentes estaban infectando los ordenadores de las compañías con KillDisk, otro troyano que provocaba que los equipos no pudieran reiniciarse.
¿Cómo funcionan BlackEnergy y KillDisk?
Estos dos troyanos funcionaron “de
maravilla” de forma conjunta. BlackEnergy es un troyano de puerta
trasera (backdoor) modular, que usa varios componentes descargables para
realizar diferentes tareas. Este troyano se ha usado en más ocasiones
durante 2014, en objetivos que apuntaban al ciberespionaje, con ataques a
sedes del gobierno de Ucrania. Pero en esta ocasión, este troyano fue usado para introducir otro troyano, KillDisk.
KillDisk es un troyano muy destructivo,
que una vez ejecutado en los sistemas (previamente infectados por
BlackEnergy) puede destruir vídeos y documentos. El troyano usado
durante los ataques contra las compañías eléctricas es una variante que
incluye funcionalidades adicionales que permitían al troyano, no sólo borrar archivos del sistema para evitar cualquier posibilidad de reinicio (común en los troyanos más destructivos), sino que también contenía códigos específicos para sabotear sistemas industriales.
No es la primera vez
En noviembre de 2015 ya fue denunciada
la primera conexión entre BlackEnergy y KillDisk, precisamente por la
Secretaría de Ciberseguridad del Gobierno ucraniano. Varias compañías
fueron atacadas durante las elecciones locales del país. Debido a ese
ataque, fueron destruidos documentos del gobierno.
Desde ESET explican que KillDisk también
es capaz de finalizar procesos que se encuentren en los sistemas
afectados, y además, puede sobreescribir archivos ejecutables en
el disco duro con datos aleatorios, para que de esta forma la
restauración del sistema sea más compleja. La compañía de seguridad ha publicado las conclusiones de la investigación
en la que analizan cómo los fallos sufridos por las compañías
eléctricas de Ucrania el pasado mes de diciembre fueron causados por
unos ciberataques que también afectaron a diversos ministerios del país.
Este ataque recuerda a uno de los más famosos que han tenido lugar en una infraestructura crítica, el popular Stuxnet, el malware que se cree que fue desarrollado por EEUU e Israelpara sabotear el programa nuclear iraní. O Havex,
otro malware similar que fue usado para atacar diferentes sistemas
SCADA europeos. El ocurrido en Ucrania es otro ataque que pone de
manifiesto la importancia de las infraestructuras críticas, los sistemas SCADA y su protección.
_____________________________________________________________________
Se Respetan Derechos de Autor.