Ciberataque a compañías de distribución eléctrica en
Ucrania
Francisco Guzmán Fuentes Douglas Isaías Pérez Pérez
Brian Steven Quijada Córdoba Juan Pablo Moreno Vega
Abstract— el 23 de diciembre de 2015, las compañías eléctricas
ucranianas experimentaron cortes de energía no programados que
afectaron a un gran número de clientes en Ucrania. Además,
también ha habido informes de malware encontrado en empresas
ucranianas en una variedad de sectores críticos de infraestructura.
Los informes públicos indican que el malware BlackEnergy (BE)
se descubrió en las redes informáticas de las empresas, sin
embargo, es importante tener en cuenta que el papel de BE en este
caso sigue siendo desconocido en espera de un análisis técnico
adicional. Este documento muestra los eventos que tuvieron lugar
en base a entrevistas con el personal de la empresa. Este informe
se comparte con fines de conciencia situacional y de defensa de la
red.
Keywords— ciberataque, ciberseguridad, malware, red, cortes de
energía, apagón, ucrania
I. INTRODUCCIÓN
La siguiente descripción de los eventos se basa en las
entrevistas del equipo interinstitucional con el personal y
líderes de operaciones y tecnología de la información en seis
organizaciones ucranianas con experiencia de primera mano del
evento. A través de entrevistas con entidades afectadas, el
equipo descubrió que los cortes de energía fueron causados por
intrusiones cibernéticas remotas en tres compañías regionales
de distribución de energía eléctrica (Oblenergos) impactando
aproximadamente a 225,000 clientes. Mientras se restableció la
energía, todos los Oblenergos afectados continúan funcionando
bajo operaciones restringidas. Además, otras tres
organizaciones, algunas de otros sectores de infraestructura
crítica, también fueron invadidos, pero no experimentaron
impactos operativos.
Según los informes, el ciberataque se sincronizó y coordinó,
probablemente después de un extenso reconocimiento de las
redes afectadas. Según el personal de la compañía, los
ciberataques en cada compañía ocurrieron cada 30 minutos una
detrás de la otra y afectaron múltiples instalaciones centrales y
regionales. Durante los ciberataques, múltiples humanos
externos llevaron a cabo operaciones remotas maliciosas de los
interruptores utilizando herramientas de administración remota
existentes a nivel de sistema operativo o software de cliente de
sistema de control industrial remoto (ICS) a través de
conexiones de red privada virtual (VPN). Las compañías creen
que los actores adquirieron credenciales legítimas antes del
ataque cibernético para facilitar el acceso remoto.
Las tres compañías indicaron que los actores eliminaron
algunos sistemas al ejecutar el malware KillDisk al final del
ciberataque. El malware KillDisk borra archivos seleccionados
en los sistemas de destino y corrompe el registro maestro de
SUPERVISIÓN DE INSTRUMENTACIÓN Y CONTROL.
Jonathan Neftalí Zelaya Rivas
arranque, haciendo que los sistemas no funcionen. Se informó
además que, al menos en un caso, las interfaces humano-
máquina (HMI) basadas en Windows integradas en unidades de
terminales remotas también se sobrescribieron con KillDisk.
Los actores también dejaron inoperables los dispositivos de
Serial a Ethernet en las subestaciones corrompiendo su
firmware. Además, según los informes, los actores
programaron desconexiones para las fuentes de alimentación
ininterrumpida (UPS) del servidor a través de la interfaz de
administración remota del UPS. El equipo evalúa que estas
acciones se realizaron en un intento de interferir con los
esfuerzos de restauración esperados.
Cada compañía también informó que habían sido infectados
con el malware BlackEnergy, sin embargo, no sabemos si el
malware jugó un papel en los ataques cibernéticos. Según los
informes, el malware se entregó a través de correos electrónicos
de phishing con archivos adjuntos maliciosos de Microsoft
Office. Se sospecha que BlackEnergy puede haber sido
utilizado como un vector de acceso inicial para adquirir
credenciales legítimas; sin embargo, esta información aún se
está evaluando. Es importante subrayar que cualquier troyano
de acceso remoto podría haberse utilizado y que ninguna de las
capacidades específicas de BlackEnergy se aprovechó.
El phishing es el intento fraudulento de obtener información
confidencial, como nombres de usuario, contraseñas y detalles
de tarjetas de crédito, disfrazándose como una entidad confiable
en una comunicación electrónica.
II. AGENCIAS INVOLUCRADAS.
Un equipo interinstitucional compuesto por representantes del
Centro Nacional de Integración de Ciberseguridad y
Comunicaciones (NCCIC) / Equipo de Respuesta a
Emergencias Cibernéticas de Sistemas de Control Industrial
(ICS-CERT), Equipo de Preparación para Emergencias
Informáticas de los EE. UU. (US-CERT), Departamento de
Energía, Oficina Federal de Investigación, y la Corporación de
Fiabilidad Eléctrica de América del Norte viajó a Ucrania para
colaborar y obtener más información. El gobierno ucraniano
trabajó estrecha y abiertamente con el equipo de EE. UU. Y
compartió información para ayudar a prevenir futuros ataques
cibernéticos.
III. MITIGACION DEL ACONTECIMIENTO.
Algunas alternativas para poder mitigar estos ataques son las
siguientes:
 • El primer paso, el más importante en ciberseguridad es
la implementación de las mejores prácticas de gestión de
recursos de información. Los ejemplos clave incluyen:
adquisición y licencia de sistemas confiables de hardware y
software; saber quién y qué hay en su red a través de la
automatización de gestión de activos de hardware y software; y
actualización tecnológica estratégica.
• Las organizaciones deben desarrollar y ejercer planes
de contingencia que permitan la operación segura o el cierre de
los procesos operativos en caso de incumplimiento de su ICS.
Estos planes deben incluir el supuesto de que el ICS está
trabajando activamente en contra de la operación segura del
proceso.
• ICS-CERT recomienda que los propietarios de activos
tomen medidas defensivas aprovechando las mejores prácticas
para minimizar el riesgo de actividades cibernéticas maliciosas
similares.
• Las organizaciones deben aislar las redes ICS de
cualquier red que no sea de confianza, especialmente Internet.
Todos los puertos no utilizados deben bloquearse y todos los
servicios no utilizados deben apagarse. Si existe un requisito
comercial definido o una función de control, solo permita la
conectividad en tiempo real a redes externas. Si la comunicación
unidireccional puede realizar una tarea, utilice la separación
óptica ("diodo de datos"). Si es necesaria una comunicación
bidireccional, utilice un solo puerto abierto sobre una ruta de red
restringida.
• Al igual que en los entornos de red comunes, los
dominios del sistema de control pueden estar sujetos a una gran
cantidad de vulnerabilidades que pueden proporcionar a los
actores maliciosos una "puerta trasera" para obtener acceso no
autorizado. A menudo, las puertas traseras son simples
deficiencias en el perímetro de la arquitectura, o capacidades
integradas que se olvidan, pasan desapercibidas o simplemente
se ignoran. Los actores maliciosos a menudo no requieren
acceso físico a un dominio para obtener acceso a él y, por lo
general, aprovecharán cualquier funcionalidad de acceso
descubierta. Las redes modernas, especialmente aquellas en el
campo de los sistemas de control, a menudo tienen capacidades
inherentes que se implementan sin suficiente análisis de
seguridad y pueden proporcionar acceso a actores maliciosos
una vez que se descubren. Estas puertas traseras pueden crearse
accidentalmente en varios lugares de la red, pero es el perímetro
de la red lo que más preocupa.
• Al observar los componentes del perímetro de la red, la
arquitectura moderna de TI tendrá tecnologías para proporcionar
un acceso remoto robusto. Estas tecnologías a menudo incluyen
firewalls, servicios públicos y acceso inalámbrico. Cada
tecnología permitirá comunicaciones mejoradas dentro y entre
las redes afiliadas y, a menudo, será un subsistema de una
infraestructura de información mucho más grande y compleja.
Sin embargo, cada uno de estos componentes puede (y a menudo
lo hace) tener vulnerabilidades de seguridad asociadas que un
adversario intentará detectar y aprovechar. Las redes
interconectadas son particularmente atractivas para un actor
malicioso, porque un solo punto de compromiso puede
proporcionar un acceso extendido debido a la confianza
preexistente establecida entre los recursos interconectados.
IV. DETECCIÓN DEL PROBLEMA
Si bien el papel de BlackEnergy en este incidente aún se está
evaluando, se informó que el malware estaba presente en varios
sistemas. La detección del malware BlackEnergy debe
realizarse utilizando la última firma publicada de YARA. Se
puede encontrar información adicional sobre el uso de las
firmas de YARA en el Monitor ICS-CERT de mayo / junio de
2015.
V. BIBLIOGRAFÍA
[1] I. A. (IR-ALERT-H-16-056-01), «CISA is part of the
Department of Homeland Security,» 4 octudre 2019. [En
línea]. Available: https://www.us-cert.gov/ics/alerts/IR-
ALERT-H-16-056-01.
VI. BIOGRAFIAS
Brian S. Quijada, nació en el municipio de
San Salvador, San Salvador el día 23 de
noviembre de 1994. Estudió bachillerato
técnico en electrónica en el Instituto
Técnico Ricaldone, donde ganó el segundo
lugar en las Expotécnicas realizadas por la
institución en los años 2012 y 2014.
Posteriormente, decidió estudiar Ingeniería
Mecatrónica en la Universidad Don Bosco, y durante su primer
año en la universidad trabajó brevemente en Beyond Games, un
estudio de desarrollo de videojuegos. Actualmente cursa el
quinto año de su carrera.
Jonathan Neftalí Zelaya Rivas, nació en
Ilopango, san salvador, el salvador en 1996:
en el año 2015 termino sus estudios de
secundaria en el Colegio Profesora
Mercedes Maiti de Luarca donde se graduó
de bachillerato General opción informática,
en el 2015 inicio sus estudios de ingeniería
Mecatrónica en la Universidad Don Bosco
en donde actualmente es poseedor de una beca del Programa
USAID.
Es el actual presidente de la directiva de la Rama Estudiantil
IEEE-UDB y Vice-Presidente del Capítulo Estudiantil de RAS
IEEE-UDB, y ha participado en diversos congresos
internacionales del IEEE como lo son el CONCAPAN 2019 y
2018, como calidad de voluntariado y expositor de paper y
poster.
 Juan P. Moreno nació en San
Salvador el 18 de abril de 1997,
realizó su educación básica en el
Colegio Sagrado Corazón y el
bachillerato en el colegio Lehtinen,
estudia Ingeniería Mecatrónica en la
Universidad Don Bosco y es miembro
activo de la sección estudiantil de la
IEEE.

Douglas Pérez, nació el 30 de mayo de

1993 en la ciudad de Yucuaiquín, La
Unión, El Salvador. Estudió en el Centro
Escolar De Yucuaiquín y se graduó de
Bachillerato Técnico Comercial Opción
Contaduría en el 2011. En el 2012 comenzó
la carrera de Ingeniería en Mecatrónica en
la Universidad Don Bosco y en el año 2015
estudió un Diplomado en Especialización
Técnico en Instalación y Mantenimiento de Sistemas
Fotovoltaicos. Perteneció al grupo de investigación del Instituto
de Investigación de Energía de la Universidad Don Bosco,
laboró en el Ingenio La Cabaña en el Área de Mantenimiento
Preventivo y actualmente labora como Asistente de
Mantenimiento en Unilever El Salvador en el área de
Supervisión y Planeado de Mantenimiento Preventivo.
Actualmente, es miembro del IEEE, Fue parte del Comité
Organizador de CONESCAPAN 2015 El Salvador y
CONCAPAN 2018 El Salvador, Presidente de la Rama
Estudiantil en el año 2018 y Presidente de la Sociedad de
Robótica y Automatización (RAS) de la Rama Estudiantil de la
UDB.

Francisco Alberto Guzmán, nació en el

municipio de San Salvador, San
Salvador el día 23 de enero de
1996.Estudió bachillerato técnico en
electrotecnia en el Instituto Técnico
Emiliani, donde ganó el primer lugar de
la promoción. Posteriormente, decidió
estudiar Ingeniería Mecatrónica en la
Universidad Don Bosco. Actualmente
cursa el quinto año de su carrera.