Hackers rusos intentaron desactivar la red eléctrica ucraniana
El grupo de hackers patrocinado por el estado ruso conocido como Sandworm intentó desactivar a uno de los grandes proveedores de energía ucraniano. El ataque pretendía desconectar sus subestaciones eléctricas con una nueva variante del malware Industroyer para sistemas de control industrial (ICS) y una nueva versión del malware borrador de datos. CaddyWiper
Los atacantes usaron una versión del malware Industroyer personalizada para las subestaciones eléctricas de alto voltaje de destino. Posteriormente, trataron de borrar los rastros del ataque ejecutando CaddyWiper y otras familias de malware de borrado de datos identificadas como Orcshred, Soloshred y Awfulshred para sistemas Linux y Solaris.
Los investigadores de la empresa de ciberseguridad ESET están colaborando con el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT) para solucionar y proteger la red atacada. No obstante, ellos dicen que no saben cómo el atacante comprometió el entorno o cómo logró pasar de la red informática al entorno ICS.
Ataque
La siguiente imagen muestra una descripción general de los componentes de borrado de datos utilizados en el ataque:
En un anuncio publicado recientemente, CERT-UA señala que el objetivo de los atacantes era “desmantelar varios elementos de la infraestructura”.
El malware ICS utilizado en el ataque se ha identificado como Industroyer2 y ESET asegura “con certeza” que se creó utilizando el código fuente de Industroyer. Industroyer fue utilizado en 2016 para cortar el suministro eléctrico en Ucrania y atribuido al grupo de hackers ruso patrocinado por el estado Sandworm.
CERT-UA y ESET dicen que Sandworm comenzó la etapa final del ataque el viernes 8 de abril (a las 14:58 UTC). El grupo planeó implementar malware en los siguientes tipos de sistemas:
- Computadoras con Windows y estaciones de trabajo automatizadas mediante la implementación del malware CaddyWiper. CaddyWipe fue descifrado, cargado y ejecutado a través de las herramientas ArgeuPatch y Tailjump (a las 14:58 UTC)
- Servidores Linux que utilizan los scripts OrcShred, Soloshred y AwfulShred (a las 14:58 UTC)
- Subestaciones eléctricas de alto voltaje que usan el malware INDUSTROYER2. Cada ejecutable contenía un conjunto de parámetros únicos especificados para sus respectivos objetivos de subestación. Los operadores de Sandworm crearon una tarea programada a las 15:02:22 UTC para lanzar el malware a las 16:10 UTC y cortar el suministro eléctrico en una región de Ucrania.
- Equipos de red activa
A las 16:20 UTC, Sandworm ejecutó CaddyWiper en las máquinas para borrar las huellas de Industroyer2.
Ataque detenido
El CERT-UA afirma que hasta ahora se ha impedido la implementación del plan malicioso [de Sandworm]. Por su parte ESET señala en un informe técnico que el malware utilizado en este ataque por Sandworm intentó implementar el malware Industroyer2 contra subestaciones eléctricas de alto voltaje en Ucrania.
Los investigadores de ESET dicen que Industroyer2 es altamente configurable. Asimismo, viene con una configuración detallada codificada, lo que requiere que se vuelva a compilar para cada nuevo entorno de víctima.
“Sin embargo, dado que la familia de malware Industroyer solo se implementó dos veces, con una brecha de cinco años entre cada versión, esto probablemente no sea una limitación para los operadores de Sandworm”.
ESET
Los investigadores dicen que el registro de tiempo de Portable Executable de Industroyer2 muestra que se compiló el 23 de marzo. En otras palabras, el ataque se planeó durante al menos dos semanas.
Las herramientas adicionales utilizadas en el ataque incluyen el script PowerGap PowerShell. PowerGap PowerShell fue utilizado para agregar una Política de Grupo para descargar payloads y crear tareas programadas. Además usaron Impacket para la ejecución remota de comandos.
El componente del gusano en este ataque, un script Bash llamado sc.sh, busca redes accesibles (a través de ip route o ifconfig) e intenta conectarse a todos los hosts disponibles a través de SSHH (puerto TCP 22, 2468, 24687, 522) usando credenciales en una lista que el atacante agregó en el script.
Nueva versión de Industroyer
Industroyer, también conocido como CrashOverride, se muestreó y analizó por primera vez en 2017. ESET lo llamó “la mayor amenaza para los sistemas de control industrial desde Stuxnet“.
La nueva variante utilizada la semana pasada en un proveedor de energía ucraniano es una evolución del malware original utilizado en los ataques de corte de energía de 2016 en Ucrania.
Industroyer2 solo emplea el protocolo IEC-104 para comunicarse con equipos industriales, mientras que anteriormente admitía múltiples protocolos ICS.
Es más configurable que la versión original y los ajustes, incluidos los tiempos de espera, se almacenan como una cadena que se pasa a través de la rutina de comunicación IEC-104.
Según el análisis de ESET, la muestra analizada recientemente se comunicó con ocho dispositivos simultáneamente.
Las acciones exactas realizadas por Industroyer2 después de su conexión a los relés aún se están examinando. Sin embargo, se ha determinado que elimina los procesos legítimos que realizan los equipos industriales en su funcionamiento estándar.
Actividades recientes Sandworm
El ataque reciente del viernes parece ser una operación paralela de Sandworm. Sandworm también se centró en los dispositivos de firewall de WatchGuard y los enrutadores ASUS usando la botnet Cyclops Blink.
Esa botnet fue gravemente interrumpida la semana pasada debido a la acción coordinada de las agencias de inteligencia cibernética y las autoridades estadounidenses.
CERT-UA colocó el compromiso inicial en febrero de 2022 e identificó dos olas de ataque distintas contra la organización víctima. Esto resultó en algunas desconexiones de subestaciones.
ANSSI, la agencia nacional de seguridad cibernética de Francia, culpa a Sandworm por una campaña que comenzó en 2017. La campaña se centró en comprometer a los proveedores informáticos franceses que usaban una versión obsoleta de la herramienta de monitoreo de red y sistemas Centreon.
Sandworm es un grupo experimentado en amenazas de ciberespionaje que se ha asociado con la Unidad Militar Rusa 74455 de la Dirección Principal de Inteligencia (GRU).
CERT-UA compartió los indicadores de compromiso (reglas de Yara, hash de archivos, hosts, red) para ayudar a prevenir nuevos ataques de este grupo.