Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ucrania
Francisco Guzmán Fuentes Douglas Isaías Pérez Pérez Jonathan Neftalí Zelaya Rivas
Brian Steven Quijada Córdoba Juan Pablo Moreno Vega
Abstract— el 23 de diciembre de 2015, las compañías eléctricas arranque, haciendo que los sistemas no funcionen. Se informó
ucranianas experimentaron cortes de energía no programados que además que, al menos en un caso, las interfaces humano-
afectaron a un gran número de clientes en Ucrania. Además, máquina (HMI) basadas en Windows integradas en unidades de
también ha habido informes de malware encontrado en empresas terminales remotas también se sobrescribieron con KillDisk.
ucranianas en una variedad de sectores críticos de infraestructura.
Los informes públicos indican que el malware BlackEnergy (BE)
Los actores también dejaron inoperables los dispositivos de
se descubrió en las redes informáticas de las empresas, sin Serial a Ethernet en las subestaciones corrompiendo su
embargo, es importante tener en cuenta que el papel de BE en este firmware. Además, según los informes, los actores
caso sigue siendo desconocido en espera de un análisis técnico programaron desconexiones para las fuentes de alimentación
adicional. Este documento muestra los eventos que tuvieron lugar ininterrumpida (UPS) del servidor a través de la interfaz de
en base a entrevistas con el personal de la empresa. Este informe administración remota del UPS. El equipo evalúa que estas
se comparte con fines de conciencia situacional y de defensa de la acciones se realizaron en un intento de interferir con los
red. esfuerzos de restauración esperados.
Cada compañía también informó que habían sido infectados
Keywords— ciberataque, ciberseguridad, malware, red, cortes de
energía, apagón, ucrania
con el malware BlackEnergy, sin embargo, no sabemos si el
malware jugó un papel en los ataques cibernéticos. Según los
I. INTRODUCCIÓN informes, el malware se entregó a través de correos electrónicos
de phishing con archivos adjuntos maliciosos de Microsoft
La siguiente descripción de los eventos se basa en las
Office. Se sospecha que BlackEnergy puede haber sido
entrevistas del equipo interinstitucional con el personal y
utilizado como un vector de acceso inicial para adquirir
líderes de operaciones y tecnología de la información en seis
credenciales legítimas; sin embargo, esta información aún se
organizaciones ucranianas con experiencia de primera mano del
está evaluando. Es importante subrayar que cualquier troyano
evento. A través de entrevistas con entidades afectadas, el
de acceso remoto podría haberse utilizado y que ninguna de las
equipo descubrió que los cortes de energía fueron causados por
capacidades específicas de BlackEnergy se aprovechó.
intrusiones cibernéticas remotas en tres compañías regionales
El phishing es el intento fraudulento de obtener información
de distribución de energía eléctrica (Oblenergos) impactando
confidencial, como nombres de usuario, contraseñas y detalles
aproximadamente a 225,000 clientes. Mientras se restableció la
de tarjetas de crédito, disfrazándose como una entidad confiable
energía, todos los Oblenergos afectados continúan funcionando
en una comunicación electrónica.
bajo operaciones restringidas. Además, otras tres
organizaciones, algunas de otros sectores de infraestructura II. AGENCIAS INVOLUCRADAS.
crítica, también fueron invadidos, pero no experimentaron
impactos operativos. Un equipo interinstitucional compuesto por representantes del
Según los informes, el ciberataque se sincronizó y coordinó, Centro Nacional de Integración de Ciberseguridad y
probablemente después de un extenso reconocimiento de las Comunicaciones (NCCIC) / Equipo de Respuesta a
redes afectadas. Según el personal de la compañía, los Emergencias Cibernéticas de Sistemas de Control Industrial
ciberataques en cada compañía ocurrieron cada 30 minutos una (ICS-CERT), Equipo de Preparación para Emergencias
detrás de la otra y afectaron múltiples instalaciones centrales y Informáticas de los EE. UU. (US-CERT), Departamento de
regionales. Durante los ciberataques, múltiples humanos Energía, Oficina Federal de Investigación, y la Corporación de
externos llevaron a cabo operaciones remotas maliciosas de los Fiabilidad Eléctrica de América del Norte viajó a Ucrania para
interruptores utilizando herramientas de administración remota colaborar y obtener más información. El gobierno ucraniano
existentes a nivel de sistema operativo o software de cliente de trabajó estrecha y abiertamente con el equipo de EE. UU. Y
sistema de control industrial remoto (ICS) a través de compartió información para ayudar a prevenir futuros ataques
conexiones de red privada virtual (VPN). Las compañías creen cibernéticos.
que los actores adquirieron credenciales legítimas antes del III. MITIGACION DEL ACONTECIMIENTO.
ataque cibernético para facilitar el acceso remoto.
Las tres compañías indicaron que los actores eliminaron
algunos sistemas al ejecutar el malware KillDisk al final del Algunas alternativas para poder mitigar estos ataques son las
ciberataque. El malware KillDisk borra archivos seleccionados siguientes:
en los sistemas de destino y corrompe el registro maestro de