Anatomía de los ataques a sistemas SCADA

Negocios

Ruchna Nigam, investigador de seguridad de Fortinet, responde a algunas preguntas sobre los ataques a sistemas SCADA: ¿Desde cuándo existen? ¿Qué métodos utilizan los cibercriminales para acceder a estos sistemas? ¿Cuál es el impacto de estos ataques?

El ataque del virus Stuxnet contra Irán en 2010 puso de relieve la vulnerabilidad de los sistemas industriales, conocidos como SCADA (Supervisory Control And Data Acquisition). Sin embargo, ¿desde hace cuánto tiempo que existen esas amenazas? ¿Cuáles son los medios utilizados por los cibercriminales para acceder a los sistemas industriales? ¿Cuál es el impacto de estos ataques? En este artículo, Ruchna Nigam, investigador de seguridad de los Laboratorios FortiGuard de Fortinet, comparte sus conocimientos como experto en ataques a sistemas SCADA.

SCADA es el término para describir a los sistemas utilizados para el control de equipos físicos. Estos sistemas normalmente se utilizan en muchas aplicaciones industriales, como para controlar las turbinas de centrales eléctricas, en oleoductos o gaseoductos; en servicios públicos como los detectores de metal de los aeropuertos; e incluso en instalaciones privadas, por ejemplo, para controlar/monitorizar procesos como la climatización, ventilación y consumo energético. El hecho de que un ataque a un sistema de este tipo pueda producir daños físicos significativos hace que los sistemas SCADA sean un objetivo especialmente atractivo para los hackers.

Por desgracia, tuvo que producirse un ataque de la escala de Stuxnet para despertar la sensibilidad de las empresas industriales sobre los potenciales impactos destructivos de estas amenazas cibernéticas. Mientras que los ataques informáticos tradicionales por lo general producen un daño no físico, Stuxnet mostró la capacidad destructiva de gusanos y virus avanzados que afectaron no sólo a los datos corporativos, sino también a los sistemas de gestión del agua, la producción de productos químicos y las infraestructuras energéticas.

Stuxnet, sin embargo, no es el primer virus que se dirige a un entorno SCADA. He aquí un resumen de algunos ataques conocidos dirigidos a SCADA en los últimos años, clasificados en tres categorías:

  • Ataques no confirmados

1982: El primer SCADA pudo haber sucedido en esta fecha. De acuerdo con un conjunto de documentos englobados bajo el título “Farewell Dossier”, la Agencia Central de Inteligencia de EEUU (CIA) se vio envuelta en la venta de productos y equipos ‘alterados’ a la Unión Soviética. Un virus Troyano camuflado en un equipo causó una explosión en un gaseoducto transiberiano. Nunca fue confirmado oficialmente en el Farewell Dossier que solo mencionaba la instalación de turbinas defectuosas, pero no el accidente.

1999: Hay informes sobre un ataque en Gazprom, la compañía rusa Petrolera, donde se instaló un virus Troyano en el sistema de tuberías, con ayuda interna. Este ataque provocó una interrupción del flujo de gas durante unas horas aunque nunca fue confirmado por Gazprom.

  • Objetivos fortuitos

Algunos sistemas SCADA se han visto atacados por virus que no iban dirigidos específicamente a ellos pero que les han afectado.

2003: La estación de energía nuclear de Davis-Besse y CSX Corporation, en Estados Unidos, fueron víctimas, respectivamente, de los gusanos Slammer y Sobig. Slammer provocó denegación de servicio y ralentizó la red mientras que Sobig envió spam.

Impacto físico: No se produjo un impacto físico en la estación de energía nuclear Davis-Besse, aunque Slammer tumbó la red SCADA. El virus Sobig infectó el Sistema de computación de la sede central de CSX Corporation, apagando los sistemas de señalización, expedición y otros sistemas, lo que produjo retrasos en los trenes.

2004: Las compañías de transporte de viajeros como British Airways, Railcorp, Delta Airlines se vieron afectadas por el gusano Sasser que aprovechó una vulnerabilidad de desbordamiento del buffer para propagarse a otros sistemas vulnerables. Algunas variantes agresivas podrían haber sido las causantes de congestión en la red.

Impacto físico: Retrasos en los trenes y vuelos y cancelaciones de algún vuelo.

2009: El ejército francés fue víctima del gusano Conficker, que aprovechaba una vulnerabilidad de Windows, o averiguaba la contraseña del administrador para instalarse. El gusano se propagaba a otras máquinas vulnerables gestionando sus propias actualizaciones y descargas e instalando malware.

Impacto físico: Fallos a la hora de descargarse los planes de vuelo

  • Ataques dirigidos confirmados

Estos ataques fueron especialmente diseñados por y para sistemas SCADA.

2009: Compañías Petroleras, de gas y petroquímicas como Exxon, Shell, BP, entre otros, fueron atacados por el virus Night Dragon que fue distribuido utilizando ataques denominados spear phishing. El virus permitía a los ordenadores infectados ser controlados de forma remota por los atacantes.

Impacto físico: Ninguno, aunque se sabe que los atacantes filtraron planos operacionales de sistemas SCADA e incluso datos.

2010: Stuxnet fue el gusano dirigido a reprogramar los sistemas industriales de la central nuclear de Natanz en Irán. Este virus interceptó y modificó datos en los PLC (Controladores Lógicos Programables).

Impacto físico: Destruyó una quinta parte de las centrifugadoras nucleares de Irán.

2014: Los dos próximos virus fueron detectados en 2014 pero no hay informes de las organizaciones afectadas. Havex fue distribuido como un troyano SCADA que se descargaba desde websites comprometidas de fabricantes de estos sistemas. Escanea la red local en busca de los servidores que recogen los datos de los sistemas industriales y los envía a un servidor de comando y control. Las motivaciones de los hackers fueron robar y espiar.

Impacto físico: Ninguno

Blacken fue descubierto en un servidor de comando y control de una botnet. Dirigido a usuarios del software SCADA, GE Cimplicity, instala ejecutables en el directorio donde está instalado el software. Algunos de estos ejecutables son bots que pueden ser controlados de forma remota. También hay referencias a los archivos de diseño Cimplicity pero su uso exacto todavía no se entiende.

Impacto físico: No hay casos reportados

Por último, de acuerdo con la Oficina Federal Alemana de Seguridad de la Información (BSI), un ataque dirigido a la red de una empresa siderúrgica alemana en 2014 provocó graves daños. Los atacantes utilizaron emails tipo spear phishing e ingeniería social sofisticada para acceder a la red corporativa, y desde esta a la de producción. El informe describe sus habilidades técnicas como ‘muy avanzadas’, con experiencia no solo en seguridad TI tradicional sino también con conocimientos de Sistemas de Control Industrial (ICS) y procesos de producción.

Impacto físico: Aunque los detalles del malware en sí mismos son vagos, el informe destaca que el ataque produjo la avería de componentes de control individuales, que llevó a la parada no controlada de un alto horno dejándolo en un estado indefinido y que produjo mucho daño.

En conclusión, en base a lo comentado anteriormente, los ataques están lejos de ser generalistas a pesar de su objetivo lucrativo. Excepto Stuxnet y el virus dirigido a la siderúrgica alemana, ningún otro ataque ha causado destrucción física. ¿Cuál es la razón? Estos ataques sofisticados no solo requieren grandes habilidades técnicas sino también conocimiento de las infraestructuras a atacar, así como recursos financieros, elementos que no todos los cibercriminales tienen. Viendo la evolución del cibercrimen, cabe esperar que estos ataques destructivos irán en aumento, por lo que es prioritario que las compañías empiecen a prepararse ante su inminente proliferación.

Lea también :