¿ESTÁ JUSTIFICADA LA PREOCUPACIÓN POR LA CIBERSEGURIDAD EN LA INDUSTRIA?

Como interesado en la Tecnología en general, suelo leer sobre el tema de la ciberseguridad y llevaba ya algún tiempo queriendo escribir sobre Ciberseguridad en la Industria; nada demasiado técnico -tampoco podría, no soy especialista en el tema-, cuando por casualidad me ha llegado el artículo Is the current attention to cybersecurity justified?. El artículo fue publicado originalmente en el número de noviembre/diciembre de 2019 de la revista InTech que edita la International Society of Automation y me ha motivado para buscar el tiempo necesario para elaborar este post, que espero que os parezca interesante. 

Titulaba este artículo con una pregunta, y quiero responderla cuanto antes y sin dejar lugar a dudas: SÍ, LA PREOCUPACIÓN POR LA CIBERSEGURIDAD EN LA INDUSTRIA ESTÁ MÁS QUE JUSTIFICADA.

El artículo que en cierta manera originaba esta publicación se escribió en respuesta a otro anterior publicado en el número de mayo/junio de 2019 de la misma revista y titulado  “Beware of the hype” que resumido muy mucho venía a decir que “The cyberthreat is merely one of many threat factors to overall risk management, and it gets far too much attention.” He querido respetar la frase en su idioma original para que el lector no dude de la traducción, que podríamos ser algo así como “Las ciberamenazas no es más que uno de los muchos factores de amenaza para la gestión general de riesgos, y recibe demasiada atención”.

Estoy de acuerdo con que las ciberamenazas es otro de los muchos riesgos a gestionar por parte de una empresa, pero no puedo estar de acuerdo con lo de que recibe demasiada atención, más bien todo lo contrario. Podría afirmar sin miedo a equivocarme que precisamente el desconocimiento sobre el tema hace que muchas empresas se sientan más seguras de lo que realmente están. Quizás haya quien piense que las ciberamenazas están sobredimensionadas, que tal vez se utilicen como “herramientas comerciales” para vendernos productos y/o servicios, etc pero leyendo titulares como Una cuarta parte de las organizaciones mundiales ha sufrido siete o más ciberataques en el último año, o este otro Los delitos informáticos ocasionaron en 2019 pérdidas superiores al 1% del PIB mundial, por encima de los 800.000 millones de euros, parece que podríamos no estar exagerando o que al menos no deberíamos despreciar la posibilidad de sufrir algún tipo de ciberincidente, por lo que habrá que tomar las medidas necesarias para prevenirlos y por supuesto, establecer un plan de recuperación en caso de sufrirlo… 

Hay que ser conscientes de que la ciberseguridad absoluta no es posible, por eso debe plantearse desde dos vertientes: una preventiva, para reducir el riesgo de sufrir un  ciberincidente y otra correctiva, que será la responsable de mitigar las consecuencias de un ciberincidente y facilitar la recuperación de las operaciones.

Los ciberataques más graves de la pasada década

El artículo Worst hacks of the decade se publicó en la revista Wired a finales de 2019 y resumía desde el punto de vista de la ciberseguridad la década que estaba a punto de acabar. Algunos de ellos tenían por objetivo el robo de información sensible, otros pretendían el “secuestro” de equipos mediante ransomware un software malicioso que bloquea el acceso a los datos guardados en un ordenador, exigiendo el pago de un rescate, otros estaban específicamente dirigidos a equipos industriales.

En 2020 la ciberseguridad ha saltado a los medios ya que varios laboratorios farmacéuticos han denunciado ciberataques que pretendían robar los resultados de las investigaciones para desarrollar la vacuna para la COVID-19. Los principales sospechosos serían China,  Rusia, Corea del Norte e Irán.

2020 ha terminado también con el hackeo a SolarWinds, un proveedor de servicios IT entre cuyos clientes están empresas tecnológicas como Microsoft y el propio Gobierno de los EEUU, afectando a varios departamentos, entre otros el del Tesoro, de Estado, de Comercio y de Seguridad Nacional. También se sospecha que ha infectado a infraestructuras consideradas críticas, de los sectores de producción de energía eléctrica, oil & gas o de fabricación, principalmente de los EEUU pero también de otros países, incluido España. Los propios expertos reconocen que será difícil saber con seguridad quiénes se han visto afectados y hasta qué punto. 

Ciberataques específicamente dirigidos a la Industria

Cualquier usuario (particular o empresa) está expuesto a muchos de los ataques listados en el artículo antes mencionado, pero aquí quiero extenderme un poco más sobre aquellos ciberataques dirigidos a equipos industriales directamente relacionados con los procesos productivos, lo que se conoce como OT (de Operational Technology). Sirva como ejemplo esta noticia de octubre de 2020 Lynch: FBI To Investigate Possibility of Cyberattack At Weymouth Compressor

STUXNET

Este malware se hizo público en 2010 y tenía un objetivo muy claro: los controladores SIEMENS de la serie S7 que se utilizaban en la planta nuclear de Natanz, una instalación clave en el programa nuclear de Irán, ya que en ella se enriquecía Uranio para la fabricación de armas atómicas.

Por las características técnicas del ataque, los investigadores sospechan que el creador de Stuxnet no fue un simple hacker o grupo de hackers, sino un Estado-Nación. Los principales sospechosos serían Israel y EEUU (juntos o por separado), ya que desde la Revolución Iraní de 1979 la hostilidad entre estos países es más que evidente. Algunos expertos involucran en este ataque a la Unidad 8200 de las Fuerzas de Defensa de Israel -una unidad especializada en la captación de señales de inteligencia y descifrado de códigos- y a la Agencia de Seguridad Nacional (NSA) estadounidense. 

Parece que el malware pudo distribuirse en una memoria USB empleada por alguno de los contratistas que trabajaba en la planta. Los atacantes se adueñaron discretamente del sistema de control de la planta, pero aunque hubiesen podido hacerlo, no optaron por destruirla causando un accidente, prefirieron provocar fallos aleatorios en las centrifugadoras de Uranio, unas piezas fundamentales en el proceso de enriquecimiento. De esta manera retrasaron el programa nuclear iraní, ya que sus especialistas nunca sospecharon de un ciberataque, en su lugar andaban como locos reemplazando centrifugadoras e intentando descubrir los problemas técnicos que provocaban el fallo de estos equipos.

Durante el pasado año 2020, Irán ha responsabilizado a Israel de “misteriosos accidentes” ocurridos en distintas instalaciones industriales del país.

Aquí tenéis algunos enlaces donde se amplía información sobre Stuxnet, considerada por muchos como la primer ciberarma:

• Stuxnet: historia del primer arma de la ciberguerra, en la revista on line GENBETA.
• Stuxnet, artículo de la Wikipedia en español.
• El virus que tomó control de mil máquinas y les ordenó autodestruirse, un artículo de la BBC.
• Stuxnet , artículo de la Wikipedia en inglés.
• The Real Story of Stuxnet, en la revista de Ingeniería IEE SPECTRUM.
• “The definitive analysis of Stuxnet”, un informe de 37 páginas publicado por LANGNER, la compañía de software especializada en la gestión de activos y ciberseguridad en entornos OT que “descubrió” Stuxnet. Contiene detalles del funcionamiento de la planta de Natanz.

HAVEX

Detectado en 2013, HAVEX estaba diseñado para fisgonear en los sistemas de control industriales (ICS, del inglés Industrial Control Systems, termino que engloba a PLC, DCS y SCADA), presumiblemente para que los hackers pudiesen elaborar un posterior ataque. El código era un troyano de acceso remoto, o RAT, un software que permite a los hackers tomar el control de los ordenadores de forma remota. En el código, se observan funciones específicas para obtener y recolectar información concreta de los ICS, además de la capacidad habitual de tomar el control de los sistemas infectados.

Para acceder a los sistemas industriales, los atacantes comprometieron a al menos tres empresas relacionadas con el negocio de los ICS y que permitían descargas de drivers, instaladores y software para su personal técnico. Los atacantes accedieron a estos repositorios y alteraron los programas legítimos para instalar un troyano.

Havex se dirigió a miles de empresas de EE.UU., Europa y Canadá, y especialmente a las de la industria energética y petroquímica

• Havex no es el nuevo Stuxnet (y la falta de profesionalidad)
• Havex, artículo en la Wikipedia en inglés.

APAGONES EN UCRANIA

El 23 de diciembre de 2015, Ucrania sufrió un apagón como consecuencia de un ciberataque coordinado. Se trató del primer ciberataque exitoso conocido a la red eléctrica. 

Los más afectados fueron los clientes de la empresa eléctrica Prykarpattyaoblenergo que presta servicios a la región de Ivano-Frankivsk: 30 subestaciones (siete subestaciones de 110 KV y 23 subestaciones de 35 KV) fueron desconectadas, y alrededor de 230.000 personas estuvieron sin electricidad durante un período de 1 a 6 horas.

Al mismo tiempo, los consumidores de otras dos empresas de distribución de energía, Chernivtsioblenergo y Kyivoblenergo (que presta servicios a la región de Kiev) también se vieron afectados por un ciberataque, pero en menor escala.

Se sospecha que las compañías eléctricas afectadas en mayor o menor medida pudieron ser algunas más. El apagón afectó a ocho de las veinticuatro regiones en las que se divide el país, cada una de ellas servida por una compañía eléctrica distinta.

Parece que los atacantes se hicieron con el sistema de control de la red eléctrica y de manera remota desconectaron una serie de subestaciones. Para que el sabotaje no se detectara en los centros de control, “congelaron” las pantallas, de manera que los operadores pensaban que todo seguía funcionando con normalidad.

En paralelo, los call centers  de las compañías eléctricas afectadas sufrieron un ataque TDoS, es decir, una avalancha de llamadas automáticas con el objetivo de inutilizar el servicio, impidiendo así que los usuarios afectados notificaran los apagones a las compañías.

Para rematar la jugada, los atacantes paralizaron completamente las compañías eléctricas, utilizando un malware que afectó a PCs y servidores. En los sistemas de la compañía se encontró el malware KillDisk, que borra y sobreescribe datos en ficheros esenciales del sistema, provocando que los ordenadores fallen y que tampoco puedan arrancar. También se encontró el malware BlackEnergy; aunque su papel en el ataque no está claro es posible que fuese empleado para instalar una “puerta trasera” en los equipos infectados, de manera que se permitiera el acceso de los atacantes desde el exterior.

Existen sospechas de que Rusia estuvo implicada en este ataque, dadas las tensiones existentes entre ambos países desde 2014, cuando Rusia se anexionó la región de Crimea. 

• Everything We Know About Ukraine’s Power Plant Hack
• Russia’s Cyberwar on Ukraine Is a Blueprint for What’s to Come
• Cyber-Attack Against Ukrainian Critical Infrastructure | CISA
• Analysis confirms coordinated hack attack caused Ukrainian power outage
• Security Analysis using the IEC 62443 standard on the Ukraine Power Grid Cyber Attack

INDUSTROYER / CRASHOVERRIDE  

Parece también un malware “Made in Russia”. Fue empleado en el ataque a una parte de la red eléctrica de Ucrania en diciembre de 2016, prácticamente un año después del incidente comentado con anterioridad. 

El malware replicó los protocolos, o lenguajes de comunicación, que los diferentes elementos de la red eléctrica utilizan para comunicarse entre sí. Esto le permitió hacer cosas como mostrar que un interruptor estaba cerrado cuando realmente estaba abierto. El código se utilizó para atacar una subestación de transmisión eléctrica en Kiev, dejando a oscuras parte de la ciudad por un corto tiempo.

• Industroyer, el malware industrial más peligroso desde Stuxnet
• Industroyer: la mayor amenaza para sistemas de control industrial desde Stuxnet
• Industroyer, artículo en la Wikipedia en inglés.

TRITON / TRISIS

El malware Triton saltó a los medios en 2017 cuando se publicó que había afectado a una planta petroquímica en Arabia Saudí.

En esta ocasión el ataque estaba dirigido a los controladores del Sistema Instrumentado de Seguridad (SIS) de la planta, implementado en los controladores de seguridad Triconex de la firma SCHNEIDER ELECTRIC. Un SIS es un sistema automático que supervisa las condiciones del proceso y en caso de detectar alguna alteración en el mismo, lleva la instalación a las condiciones seguras, generalmente parándola, por ejemplo cerrando válvulas de aporte de combustible, abriendo otras para desalojar producto, parando motores, etc. 

Es importante destacar que un SIS es diferente e independiente del sistema de control de la instalación. Esto se hace así para evitar posibles causas comunes de fallo (por ejemplo, no comparten alimentaciones eléctricas, ni controladores, ni instrumentación, etc). El SIS es una de las últimas capas preventivas de seguridad de una planta industrial (ver el artículo “El accidente de IQOXE y la Seguridad en la Industria de Proceso”, aquí en MyTips), por lo que si falla, el incidente/accidente es casi inevitable. El siguiente vídeo explica muy bien cómo es su funcionamiento.

Según los investigadores, el malware podría haber estado en la red IT de la planta desde 2014 y de alguna manera fue capaz de “saltar” a una estación de ingeniería del SIS. Parece que mientras el grupo de hackers estudiaba el SIS de la instalación provocó involuntariamente la parada accidental de la planta (parece que manipulando el controlador de seguridad, este consideró que había habido un fallo y actuó deteniendo el proceso). Inicialmente los responsables de la instalación pensaron que se debió a un problema mecánico, pero cuando posteriormente se repitió una actuación “inexplicable” del SIS realizaron una investigación más profunda y descubrieron el malware, considerado el primero ideado para dañar el mundo físico.

Teniendo acceso al SIS, un atacante puede “secuestrar” una instalación industrial, provocando paradas repentinas de forma aleatoria o bien impedir su puesta en marcha tras una parada. Esto afectaría al rendimiento económico de la instalación al reducir su disponibilidad, podría dañar también algunos equipos, etc pero en el peor de los casos un atacante podría desactivar por completo el SIS, liberando gases tóxicos a la atmósfera o provocando explosiones. Sería como ponerse al volante de un coche al que hubiesen manipulado los frenos.

De nuevo, la complejidad técnica del ataque y los recursos necesarios para ejecutarlo hacen sospechar que fue promovido por algún Estado-Nación. TRITON / TRISIS fue analizado por las firmas de ciberseguridad DRAGOS y FIREEYE, quienes señalaron como responsable de este ciberataque a un grupo que se hace llamar XENOTIME. Según denuncian, XENOTIME tiene vínculos con el Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM) de Rusia.

• Triton/Trisis/Hatman; un malware para SIS, artículo en el blog sobre ciberseguridad Enredando con Redes.
• Triton Malware Targets Industrial Safety Systems In the Middle East
• Triton Malware Details Show the Dangers of Industrial System Sabotage
• Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure
• Triton is the world’s most murderous malware, and it’s spreading
• SECURITY: The inside story of the world’s most dangerous malware

EKANS / SNAKE

Se trata de un ransomware que apareció a mediados de diciembre de 2019. Está dirigido específicamente a los Sistemas de Control Industriales basados en el sistema operativo Windows, así por ejemplo, incluye referencias al historizador de datos Proficy de GE, la aplicación HMIWeb de Honeywell y el conjunto de conectividad ThingWorx de PTC, entre otros. Anteriormente se habían producido incidentes de ransomware en equipos OT, pero se trataba siempre de malware desarrollado para entornos IT que de alguna manera “saltaba” a las redes OT (por ejemplo, por una mala separación de redes), EKANS, por contra, es un desarrollo específico orientado a atacar los Sistemas de Control.

EKANS comparte muchas características del ransomware diseñado para sistemas operativos Windows. Cuando se ejecuta por primera vez, comprueba si ya existe una copia en el ordenador, si no, empieza parando una larga lista de procesos (relacionados con software de seguridad o de gestión, bases de datos, herramientas de backup y específicos de los Sistemas de Control). Después, cifra determinados archivos y los renombra agregando cinco caracteres aleatorios a la extensión del archivo original. Cuando termina esta tarea, coloca una nota avisando de la infección y pidiendo un rescate en la raíz de la unidad del sistema y en el escritorio.

EKANS no tiene capacidad ni para inyectar comandos ni para manipular los procesos del sistema de control. Tampoco reinicia ni apaga el sistema, ni cierra las conexiones de acceso remoto. Tampoco dispone de un mecanismo de propagación, debe ser ejecutado para que infecte al equipo.

A pesar de que el malware no parece demasiado avanzado y de que el impacto que EKANS puede tener en los entornos industriales no está claro, según la firma de ciberseguridad DRAGOS, EKANS representa una evolución “profundamente preocupante” en el malware dirigido a ICS. “Mientras que anteriormente el malware específico para ICS o relacionado con ICS era únicamente el campo de juego de entidades patrocinadas por Estados-Naciones” -como hemos comentado en los casos de STUXNET y de TRITON / TRISIS- “EKANS parece indicar que los elementos no estatales que persiguen ganancias financieras ahora también están involucrados en este espacio”. Aunque algunos han apuntado a que el Gobierno de Irán anda detrás del desarrollo de este malware, la opinión generalizada es que el responsable es algún grupo de ciberdelincuentes que ha encontrado otro objetivo para ganar dinero.

• El Ransomware apunta a los Sistemas de Control Industrial
• Ransonware Ekans: características y funcionamiento
• New ransomware targets industrial control systems – Help Net Security
• EKANS Ransomware and ICS Operations
• How dangerous is Snake/Ekans for industrial plants? | Born’s Tech and Windows World

Lecciones a aprender y algunas consideraciones adicionales

Las posibles motivaciones para un ciberatacante son varias, por ejemplo: robo de propiedad intelectual, robo de información sensible, dinero, sabotaje, reivindicaciones políticas, infligir un daño reputacional, etc.

Los ataques dirigidos específicamente a los equipos industriales requieren de unos conocimientos, habilidades y recursos que hacen pensar en ataques lanzados por Estados-Naciones. El ciberespacio se ha convertido en un campo de batalla más, por eso es fundamental la colaboración entre las empresas consideradas críticas para la Seguridad Nacional y las instituciones con responsabilidades en cuanto a la ciberseguridad (en España, INCIBE y el CCN-CERT).

Existe falsas creencias relacionadas con la ciberseguridad de los sistemas de control industrial como que el “air gap” (la desconexión del ICS con el exterior) o que el uso de los protocolos propietarios de los fabricantes ya hacen lo suficientemente ciberseguros estos sistemas. Otro es la tranquilidad de que “nunca ha pasado nada”, aunque si esto ha sido así hasta ahora es porque los hackers no han tenido el suficiente interés pero esto no durará eternamente. Las consecuencias de un ciberataque pueden ser lo bastante graves como para justificar la implantación de medidas preventivas y mitigadoras aunque sean poco probables.

No hay que descartar tampoco los ataques debidos a grupos de hackers “clásicos” que vean en el entorno industrial un nuevo objetivo, ya sea por interés propio o bien por encargo, actuando como “cibermercenarios” ofreciendo sus habilidades y servicios a terceros.

Las actividades industriales pueden verse afectadas indirectamente por ciberataques dirigidos a los equipos de IT. En 2012, las compañías Aramco (petrolera estatal de Arabia Saudí) y RasGas (compañía gasística estatal de Catar) sufrieron el ataque del malware Shamoon que accedió a distintos PCs de la red IT, robando información que enviaba a los atacantes para posteriormente borrar el contenido de los discos duros de las máquinas infectadas. Cabe recordar los incidentes de 2017 con los malware WannaCry y Petya, que aunque se iniciaron en Ucrania se propagaron por todo el mundo afectando a particulares y empresas. Es por esto que la colaboración entre los profesionales de IT y de OT es fundamental.

Es importante educar e implicar en la ciberseguridad tanto al personal propio como a las empresas contratistas. Los ataques a la farmacéutica AstraZeneca parece que se iniciaron a través de emails que recibían sus empleados de supuestos headhunters con ofertas de empleo. Se sospecha que Stuxnet llegó a la planta de Natanz en el USB de algún contratista, WannaCry también se inició con un “inofensivo” correo electrónico, para acceder a los equipos de OT, los creadores de Industroyer se infiltraron primero en los repositorios de software oficial de los fabricantes de los ICS… Aquí en MyTips ya hablamos sobre el tema en este artículo Los empleados son el principal riesgo para la ciberseguridad de las empresas

Existe también la posibilidad de incidentes “involuntarios”. Por ejemplo, Shodan es un motor de búsqueda de dispositivos conectados a Internet. Permite centrar la búsqueda en determinados tipos de equipos: webcams, routers, servidores, sistemas industriales de control… si de alguna manera nuestros equipos son visibles en internet, siempre cabe la posibilidad de que algún curioso consiga acceder a ellos y que “jugando” nos provoque un disgusto (OJO con utilizar las contraseñas por defecto de los sistemas, hay en circulación listados de contraseñas).

Para saber más

• Vulnerabilidades ICS Termómetro CCI – 8, documento elaborado por el Centro de Ciberseguridad Industrial y actualizado a fecha 31/12/2020.

• Informe de Ciberamenazas y Tendencias. Edición de 2020. Documento publicado en septiembre de 2020 por el Centro Criptológico Nacional en el que se analizan las ciberamenazas nacionales e internacionales, su evolución y tendencias futuras. 

• Biblioteca Virtual Enredando con redes … recopilatorio de documentación relacionada con la Ciberseguridad Industrial y protección de Infraestructuras Críticas publicada por distintos organismos, empresas e instituciones. Un apartado indispensable del muy recomendable blog sobre Ciberseguridad Industrial y protección de Industria 4.0 “Enredando con Redes” cuyo autor es Edorta Echave García.

• Los principales hackeos e incidentes informáticos de 2020, artículo en la revista Business Insider.

• Ciberseguridad en 2020: los 10 peores incidentes, artículo en la revista MuyComputer.

• Ciberataques que matan a las empresas | Economía | EL PAÍS

• La pandemia dispara un 200% los ciberataques en España

• Guerra informática, artículo en Wikipedia que lista algunos casos. 

• The 2020 Industrial Cybersecurity Report, una interesante recopilación de papers relativos a la Ciberseguridad Industrial.

• Defending the Oil and Gas Industry Against Cyber Threats, artículo de la revista SecurityIntelligence en el que se mencionan algunos ciberataques específicos a la industrial de Oil & Gas durante 2020. 

• Cyberthreats for ICS in Energy in Europe. Q1 2020, un informe de la firma de ciberseguridad KASPERSKY, centrado en las ciberamenazas detectadas en el sector energético europeo durante el primer trimestre de 2020.
• ICS breaches will happen, artículo que insiste en la idea de que la ciberseguridad absoluta no existe y desmonta algunos mitos, como la “desconexión del ICS con el exterior”.

• How Shell conducts cyber PHA assessments based on ISA-TR84.00.09, artículo de la revista InTech en la que explica como SHELL considera las ciberamenazas como un aspecto más a considerar dentro de la seguridad de procesos.
• 2020 Cyber Threatscape Report un informe de Accenture.

Como siempre, espero que este post os haya parecido interesante.

Os invito a que compartáis opiniones, experiencias relacionadas, enlaces interesantes, etc en el apartado de Comentarios y ojalá pueda contar con vosotros entre los lectores de futuros artículos.

Enlaces relacionados, aquí en MyTips

CIBERINCIDENTE EN UNA PLANTA DE TRATAMIENTO DE AGUAS EN EEUU

CIBERATAQUE PARALIZA OLEODUCTO EN EEUU