Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMATICA EMPRESARIAL
II SEMESTRE
Actividad 7
02/04/2020
Caso de Estudio: Ciberataque al Sistema
Interconectado Eléctrico de Ucrania
Sin lugar dudas este ha sido un Incidente que llamó mucho la atención
en todo el mundo. Dentro de la comunidad de aquellos que nos
dedicamos a la CiberSeguridad Industrial sabemos que en Ucrania
dedican gran cantidad de recursos a la protección de la Infraestructura
Crítica, y especialmente en el sector de Energía, quizás porque ya han
sido noticia en otros episodios del pasado. Desde el mes de diciembre
del año pasado, habrían sido sorprendidos en un gran incidente. Todos
nos preguntamos ¿Qué paso? ¿Cómo pudo haber sucedido cosa
semejante en un país en el cual se dedica una gran cantidad de recursos
a la protección de la infraestructura Crítica?
La Causa Real
Un Plan Brillante
Primera Fase: Durante los relevamientos no fueron encontradas
evidencias de que el Malware BlackEnergy3 haya alcanzado los sistemas
de control. Por el contrario todo parece indicar que las medidas de
protección para evitar intrusiones desde el área corporativa hacia los
sistemas de control fueron efectivos. Los ataques habrían comenzado
varios meses antes en las Redes de IT. Los atacantes No se dieron por
vencidos y buscaron otras vías de ingreso a los sistemas de control.
Estos ataques en las áreas de IT fueron ejecutados a través del envío de
correos electrónicos, con documentos de Word que pedían permiso para
ejecutar macros. Estas macros tendrían el malware. Aún ganando
acceso a las computadoras de los perfiles de administrador, no
consiguieron llegar a los sistemas de control. Los diferentes cortafuegos
y logs evidenciaron que todos los intentos de ingreso fueron bloqueados.
Lo que si faltó fue un análisis adecuado a tiempo. Los atacantes tenían
dos opciones. Buscar vulnerabilidades en los cortafuegos y barreras de
ingreso a los sistemas de control desde la redes de IT, o buscar vías
alternativas de ingreso. Los atacantes finalmente optaron por la
segunda opción. Deberían conseguir uno o más accesos directos a los
sistemas de control de las múltiples empresas de distribución de
energía.
Segunda Fase: Los atacantes comenzaron a buscar formas de ingreso
alternativas. Consiguieron ingresar al servidor de dominio y robaron las
credenciales de ingreso a través de las VPN de varios SCADA. Una vez
que consiguieron ingresar a la Red del Sistema SCADA comenzaron a
tejer su estrategia. Reconfiguraron las UPS en dos de los Sistemas de
Control. Además de dejar sin energía a los habitantes consiguieron dejar
ciegos a los operadores, pero No consiguieron realizar esta movida en
los demás sistemas. En algunos sistemas simplemente consiguieron
freezar las pantallas de los operadores. Fue suficiente para que no
pudieron ver lo que pasaba en campo. Las diferencias tecnológicas de
los diferentes sistemas de control, fue brindando diferentes
oportunidades de ingreso. Las compañías utilizaban diferentes DMS
(Distribution Management Systems). Consiguieron modificar el firmware
en diversos equipos y dispositivos de comunicaciones de red. Además
llegaron a cambiar el firmware en varios Sistemas de Control, por lo
menos en un mínimo de 16 sub-estaciones. Es la primera vez que se
detecta un caso semejante, donde los actores consiguen realizar un
cambio de firmware en los Sistemas de Control. Desde la perspectiva de
un ataque fue toda una ingeniería. Una vez conseguidos todos estos
cambios, ya estaban listos para ejecutar su ataque.
Tercera Fase: una vez desplegadas una suficiente cantidad de vectores
de ataques, y caballos de Troya, lo que debían de hacer para que el
ataque sea efectivo y tuviera un gran impacto, fue actuar de forma
coordinada. Y así lo hicieron.
¿Cómo protegerse?
https://www.elconfidencial.com/tecnologia/2016-01-21/amenazas-en-la-oscuridad-como-los-
hackers-pueden-provocar-un-apagon-en-tu-ciudad_1138837/
https://www.technologyreview.es/s/7951/el-virus-del-apagon-en-ucrania-es-la-mayor-amenaza-
informatica-desde-2009