Nukin’ Zaragoza: a cyberwar exercise (VI). La verdad está ahí fuera.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

(Recordamos que esta historia se basa en el género literario de la ucronía, una reconstrucción de la historia basada en datos y hechos hipotéticos. Es por tanto ficción, y debe ser considerada como tal en todos los aspectos excepto en aquellos relacionados con la ciberseguridad. Toda la información empleada para realizar este ensayo ha sido obtenida a través de fuentes abiertas, e interpretada por el (mejor o peor) criterio del autor. Esta anotación debe aplicarse especialmente a todos los protocolos de respuesta a situaciones de crisis,  que pueden diferir sensiblemente de la realidad.

Aunque quede claro que es una ficción, se estima necesario recordar que en ningún caso se pretende desmerecer la innegable labor de todos los actores (FFCCSE, fuerzas armadas, servicios de inteligencias, servicios de emergencia, etc…) que velan por la seguridad de los españoles. Nuestro objetivo es claro y común: la seguridad de todos).

La investigación dura varios meses, y engloba a equipos de investigación de multitud de organismos: Policía Nacional, Guardia Civil, CNI y CNPIC en primera instancia dejan lugar a los técnicos de CCN-CERT y CERTSI, dada la obvia vertiente que va teniendo el incidente a medida que la investigación sigue su curso.

A continuación se muestra buena parte de las conclusiones a las que llegaron el más de un centenar de investigadores partícipes de la investigación. Por desgracia, estas conclusiones no constituyen toda la verdad, no siendo capaces de explicar todo lo sucedido.

Fallo del suministro eléctrico

Dos meses antes del incidente, varios empleados de REE recibieron un correo electrónico con una encuesta del Grupo de Trabajo de la UE de Smart Grids. O eso parecía a primera vista. El correo era en realidad un ataque de spear-phishing muy elaborado, que contenía un adjunto de Excel con una macro maliciosa que lanzaba a su vez un Powershell. Este malware se ejecutaba únicamente en memoria (lo que se denomina un fileless attack), lo que dificultaba en buena parte su detección.

El malware se comunicaba por peticiones DNS con su C2 (Command and Control), y en esos dos meses logró acceder a la red de propósito general de REE. La red de control de REE está en teoría separada por completo (air-gapped) de la de propósito general, pero de alguna forma un USB fue conectado en ambas redes, circunstancia que aprovechó el malware para pasar una nueva Excel con otra macro maliciosa.

Esta macro contenía a su vez otro Powershell con un propósito muy específico: conectarse a una hora concreta a un conjunto de estaciones de telecontrol, proceder a abrir los relés de corriente (interrumpiendo el suministro eléctrico) y borrar la MBR de las estaciones, para luego reiniciarlas y dejarlas inoperativas.

Fallo de las comunicaciones

Esta parte de la investigación puede que sea la que más atención atrajo, tanto por los expertos en seguridad como por el público en general.  A primera vista, todos los router estaban totalmente borrados, pero para ello se necesitan accesos completos de administrador (privileged exec 15 en el caso de los Cisco).  La pregunta es:  ¿cómo pudieron los atacantes borrar docenas de router de varias organizaciones y con dos fabricantes distintos (Cisco y Huawei)?

La respuesta vino gracias tanto a la fortuna como a la viveza de un técnico de comunicaciones de la Universidad de Zaragoza. Durante los trabajos de recuperación de los router de las distintas facultades, se encontró con que uno de ellos no estaba totalmente borrado sino en un estado inconsistente.

El router había sufrido al parecer un fallo eléctrico horas antes del incidente, por lo que su memoria estaba corrupta pero se había borrado. El técnico fue capaz de hacer un volcado completo (core dump) de la memoria del router, encontrando en un análisis inicial numerosas anomalías.  El volcado fue entregado al CCN-CERT y al CERTSI, y tras un análisis en profundidad se encontró un nuevo malware (llamado por los técnicos Carbonilla, sinónimo de Cisco en español que refleja a la perfección lo que hacía con dichos equipo de red), se llegaron a las siguientes conclusiones de operación:

  • Al desplegarse en un router, Carbonilla comprobaba la distancia en saltos hasta Aragonix, el punto neutro de acceso a Internet de Aragón. Si la distancia era igual o mayor a 10, Carbonilla dejaba de propagarse y quedaba a la espera de órdenes.
  • Si la distancia era menor, el malware recuperaba la tabla de routing y lanzaba un 0-day contra los router que conocía (siendo capaz tanto de atacar router internos como de otros sistemas autónomos).
  • Una vez propagado, quedaba a la espera hasta que se produjera su activación mediante una secuencia de pings especialmente diseñada, momento en el cual procedía a borrar la configuración del router y a reiniciarlo, dejándolo de forma efectiva con los valores de fábrica (y totalmente inservible).

La relación con Aragonix era demasiado fuerte como para que una rama de la investigación no se fijara en los técnicos de redes del punto neutro.  En mitad de un interrogatorio, uno de los técnicos se derrumbó y confesó ser el responsable de haber infectado con Carbonilla los router de Aragonix.  Pero no lo hizo motu proprio: había sido chantajeado.

Aquí la historia atrajo como buitres a todos los programas de tertulias: al parecer el administrador de redes era excelente a nivel técnico pero no así a nivel humano, ya que pegaba con regularidad tanto a su mujer como a su hija pequeña.  Una de esas peleas fue grabada íntegramente por la nueva muñeca conectada de la hija, que se guardó de forma automática en la nube del fabricante.

Nadie sabe cómo, los atacantes localizaron esa grabación y la usaron para forzar al técnico a descargarse de una web de Hong Kong  un binario y ejecutarlo en un router de Aragonix. Toda la comunicación se realizó por correo electrónico (curiosamente, en un español bastante correcto), la web ya no está activa y no queda rastro alguno de los correos electrónicos.

Fallo de las comunicaciones vía radio

El apartado anterior no se aplica a las comunicaciones vía radio, que también se vieron afectadas por el incidente. En este caso la pista principal viene dada porque el problema se desvaneció misteriosamente minutos después del anuncio de la Presidenta, lo cual hace sospechar a las FFCCSSE que se ha producido un jamming (bloqueo) de las principales emisoras de radio.

Pelena-6RM22 portable jammer por Vitaly V. Kuzmin

Un análisis de las grabaciones de vídeo de los accesos a La Muela y el aeropuerto (donde están situados los mayores emisores) permiten detectar la presencia horas antes de dos furgonetas blancas que estacionan cerca de las instalaciones del emisor. Los vehículos permanecen estacionarios en todo momento sin que nadie entre o salga de los mismos,  y se marchan prácticamente al unísono a las 19.30h. Un análisis exhaustivo de cámaras de vídeo permite localizar otra furgoneta cerca del emisor de Juslibol, y se supone que otros emisores de calado tendrían asignados vehículos similares.

Las furgonetas fueron alquiladas por Internet usando tarjetas de crédito robadas, cada una a una empresa de alquiler distinta. Los trabajadores de las mismas recuerdan haber alquilado las furgonetas a varios hombres “con pinta de extranjeros”, hecho corroborado por las fotocopias de los NIE recogidas en la ficha de alquiler (más falsas que un billete de 300€).

No respuesta del Ejército

Otra de las incógnitas del incidente fue no obtener respuesta de ninguna de las unidades del Ejército de la zona. La investigación obtiene respuestas con celeridad: no se respondió a ningún mensaje porque así se lo había ordenado el mismo EMAD (Estado Mayor de la Defensa).

El silencio de radio es un término militar en el que todas las unidades cesan cualquier tipo de transmisiones, usualmente para evitar su localización.  Al parecer, a las 17.00h del 20 de Marzo, los acuartelamientos de Zaragoza recibieron este mensaje:

“Se ha producido un intento de golpe militar en Madrid. Se declara el estado de sitio. Todas las unidades deben permanecer en sus cuarteles y mantener silencio de radio durante 24h.  ¡Viva España!”.

El mensaje estaba autenticado con los códigos correctos, por lo que a los mandos obedecieron a rajatabla la orden, ignorando cualquier mensaje posterior (ya que el sistema podría estar comprometido por los golpistas). La investigación posterior concluye que el mensaje en sí mismo fue realmente enviado desde el EMAD, y los códigos eran completamente correctos. A medida que avanzan las pesquisas, se va descubriendo lo sucedido.

Un teniente del área de comunicaciones del EMAD había estado flirteando por una conocida red de mensajería con una supuesta soldado americana destinada en Rota.  Los investigadores asumen que esta convenció al teniente para que pulsara sobre algún enlace, aprovechando algún fallo de seguridad del terminal para infectarlo con un malware.

El cómo pudo ese terminal infectado hacerse con los códigos de identificación y enviar el mensaje es algo que se desconoce (o en todo caso, quedará clasificado como secreto según la Ley de Secretos Oficiales).

(Continuará…)