Torres de alto voltaje y líneas eléctricas vistas en una subestación durante el día.

Imágenes Getty | Fotografía variada

Ha pasado más de media década desde que los notorios piratas informáticos rusos conocidos como Sandworm atacaron una estación de transmisión eléctrica al norte de Kiev una semana antes de la Navidad de 2016, utilizando un código único y automatizado para interactuar directamente con los disyuntores de la estación y apagarla. fracción de la capital ucraniana. Este espécimen sin precedentes de malware de sistemas de control industrial nunca se ha vuelto a ver, hasta ahora: en medio de la brutal invasión de Ucrania por parte de Rusia, Sandworm parece estar jugando con sus viejos trucos.

El martes, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y la firma de ciberseguridad eslovaca ESET emitieron pistas de que el grupo de piratas informáticos Sandworm, confirmado como la unidad GRU de inteligencia militar rusa 74455, había atacado subestaciones de alto voltaje en Ucrania, una variante de un Malware. conocido como Industroyer o Crash Override. El nuevo malware, llamado Industroyer2, puede interactuar directamente con los dispositivos de las empresas de servicios eléctricos para enviar comandos a los dispositivos de la subestación que controlan el flujo de electricidad, como en el ejemplo anterior. Muestra que el equipo de ciberataques más agresivo de Rusia intentó un tercer corte de energía en Ucrania, años después de sus históricos ataques cibernéticos en la red eléctrica de Ucrania en 2015 y 2016, siendo los únicos cortes de energía confirmados que se sabe que fueron causados ​​por piratas informáticos.

ESET y CERT-UA dicen que el malware se colocó en los sistemas objetivo de una compañía energética regional de Ucrania el viernes. Según CERT-UA, el ataque se detectó con éxito y se detuvo antes de que se desencadenara un apagón real. Pero una consulta privada anterior realizada por CERT-UA la semana pasada, reportada por primera vez el martes por MIT Technology Review, indicó que se había cortado temporalmente la energía a nueve subestaciones.

Tanto CERT-UA como ESET se negaron a nombrar la utilidad afectada. Sin embargo, según Farid Safarov, Viceministro de Energía de Ucrania, más de 2 millones de personas viven en el área a la que sirve.

wired logo

“El intento de piratería no tuvo ningún efecto en el suministro de energía del proveedor de energía. Se identificó y desactivó rápidamente”, dice Viktor Zhora, un alto funcionario de la agencia de seguridad cibernética de Ucrania conocida como Servicios Estatales para la Protección Especial de las Comunicaciones y la Información (SSSCIP). . «Pero la interrupción prevista fue enorme». Cuando se le preguntó sobre el informe anterior, que parecía describir un ataque que tuvo al menos un éxito parcial, Zhora lo llamó un «informe preliminar» y defendió sus recientes declaraciones públicas y CERT-UA.

Según CERT-UA, los piratas informáticos penetraron en el proveedor de energía objetivo en febrero o posiblemente antes (aún no está claro exactamente cómo), pero solo intentaron implementar la nueva versión de Industroyer el viernes. Los piratas informáticos también implementaron varias formas de malware «limpiador» diseñado para destruir datos en computadoras dentro de la utilidad, incluido el software de limpieza dirigido a sistemas basados ​​​​en Linux y Solaris, así como limpiadores de Windows más comunes y también un código llamado CaddyWiper que se había encontrado en Los bancos ucranianos en las últimas semanas. CERT-UA afirmó el martes que también pudo interceptar este malware de limpieza antes de que pudiera usarse. «Fuimos muy afortunados de poder responder a este ataque cibernético de manera oportuna», dijo Zhora a los periodistas en una conferencia de prensa el martes.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí