Cada vez son más frecuentes los ciberataques producidos por equipos multidisciplinares en los cuales sus integrantes disponen de conocimientos IT y conocimientos del funcionamiento del sistema industrial al cual pretenden atentar. Esto se ha convertido en un arma muy poderosa, ya que los atacantes no solo son capaces de acceder al sistema de control industrial, sino que pueden identificar qué parte del proceso industrial es crítica y delicada y que saboteando su sistema de control, pueden producir graves daños que afecten tanto a la producción de la planta como a la propia instalación.
Todos recordamos el caso del malware Stuxnet que en 2010 atacó una instalación industrial dañando más de 3000 centrifugadoras en Irán. Recientemente, según un informe de la oficina federal alemana para la seguridad de la información, una planta de acero sufrió un ciberataque a sus sistemas de control industrial ocasionando graves daños. Según un informe anual publicado por la oficina federal alemana para la seguridad de la información, conocida como BSI (Bundesamt für Sicherheit in der Informationstechnik), existe evidencia de un ataque cibernético dirigido a los sistemas de control en una acería alemana que resultaron en daños “masivos” a un alto horno.
El informe BSI describe las destrezas técnicas de los atacantes como “muy avanzadas“. Tenían “know-how avanzado no sólo de la seguridad IT convencional, sino también el conocimiento técnico detallado de los sistemas de control industrial y procesos de producción de la planta“. Diferentes sistemas internos y componentes industriales fueron comprometidos. El informe describe el ataque a la acería, pero no identifica a la empresa afectada ni revela cuando se produjo el ataque.
La planta fue atacada combinando un ataque “spear phishing” y la ingeniería social para acceder a la red de oficinas de la institución. A partir de ahí, el ataque continuó su camino a través de la red de producción causando un gran daño en un alto horno.
Tácticas del Atacante, Técnicas y Procedimientos (TTPs). Descripción.
El informe original alemán no proporcionaba detalles sobre el atacante ni sus TTPs, pero debemos tener en cuenta la evaluación de los conocimientos del atacante respecto al ICS.
Atacante – La BSI describe el incidente como un “APT-Attack”. Probablemente podemos pensar en un atacante que utiliza tácticas y herramientas APT tradicionales, sin embargo, su objetivo final va más allá de la propiedad intelectual.
Técnica – La técnica utilizada para infiltrarse en la red corporativa de la instalación fue un correo electrónico de phishing.
El informe del BSI describió este vector de ataque como un ataque de “ingeniería social avanzada” que varios atacantes utilizan para obtener acceso a la red corporativa. Después se abrieron camino en las redes de producción industrial (ICS). A partir del análisis previo de los incidentes relacionados con el spear-phishing dentro de los ICS, es muy probable que el correo electrónico tuviera un documento PDF que al abrirse ejecutara código malicioso en el equipo, que a su vez abrió una conexión de red para el atacante(s) sin que el personal de planta se diera cuenta. No se ha proporcionado información sobre cómo el atacante penetró dentro de la red de producción industrial, pero el análisis de estudios de casos similares nos indica que probablemente lo hiciera a través de zonas y conexiones de confianza entre la red corporativa y la red industrial.
Oportunidad – Las redes corporativas son un objetivo muy valioso para los atacantes interesados en ICS, ya que tienen a menudo conexiones con la red ICS que los atacantes pretenden atacar. Muchas de estas redes de proceso fueron construidas como sistemas aislados que permitían solo comunicaciones necesarias con redes de proceso de nivel superior para realizar determinadas operaciones de mantenimiento o control, pero como ya hemos visto en otras ocasiones, los nuevos tiempos de negocio requieren visibilidad adicional, órdenes, programación y soporte remoto, lo cual requiere comunicaciones adicionales entre las redes tradicionales de TI y las redes de control de procesos industriales.
Muchos grupos de atacantes han demostrado habilidad para pivotar desde las redes de nivel superior a las redes de operación industrial a través de estos canales de comunicación de confianza. En el caso de que estas redes no estén conectadas entre sí, la información contenida en las redes corporativas sigue siendo muy útil para los atacantes, ya que puede contener especificaciones o diagramas de los ICS así como datos personales: correos electrónicos e información de la red que puede ser usada para utilizar otros vectores de ataque.
Motivación – No se ha publicado la motivación del atacante. Se pueden extraer múltiples teorías que incluyen el sabotaje industrial por parte de la competencia, intereses nacionales, extremistas medioambientales, o alguna persona o grupo probando sus capacidades y tácticas para ver si se producía daño físico o no.
Es poco probable que el atacante fuera un empleado descontento dado que el vector de ataque inicial era un correo electrónico de phishing. Una amenaza interna hubiera tenido medios más accesibles y no hubiese estado interesada en principio en causar estragos en la red. Sin embargo, llegado a este punto muy pocas teorías se pueden descartar. La motivación se convierte en un aspecto muy interesante, dado que el ataque tuvo daños físicos sobre la planta y los procesos industriales.
Otro aspectos que debemos considerar y que se valora adecuadamente en el informe es que los atacantes tenían un avanzado “know-how” en ICS y conocimiento del proceso, y lo más importante, fueron capaces de lograr un daño masivo en éste. La descripción dada por el informe BSI acompañada del conocimiento de los incidentes del proceso, lleva a los autores a creer que el daño provocado en el proceso industrial fue intencionado.
Conclusión
Al revisar todos los datos del incidente, da la impresión de que los “malos” sabían con detalle qué elemento de la producción industrial era crítico y vulnerable, en este caso el alto horno de la acería alemana.
Sabían cómo funciona, cómo se controlaba y qué elementos de su sistema de control debían adulterar o desestabilizar para producir un daño físico importante, suficiente para parar la producción de acero y provocar grandes pérdidas económicas (sin olvidar que con este tipo de ataques también se ponen en riesgo vidas humanas).
Aparentemente el acceso a la información y los controles se produjo aprovechando las conexiones de confianza entre la red industrial y la red corporativa, a la cual accedieron mediante un correo electrónico infectado.
De una forma tan “sencilla”, podemos ver el desastre que puede provocar un simple correo electrónico “desconocido” que un día cualquiera, un empleado cualquiera abre de forma inocente sin pensarlo dos veces.
La tecnología avanza, y como todo tiene sus pros y sus contras, en la actualidad confiamos tareas a máquinas que son vulnerables a ciberataques por parte de delincuentes, competidores… y sólo nos acordamos de las vulnerabilidades cuando lo hemos sufrido.