Se ha detectado un malware que tiene la capacidad de supender la red eléctrica y de energía de una ciudad. Nombrado “Industroyer”, el malware fue identificado después de un ataque en Kiev en 2016.

Un análisis de ESET encontró que es capaz de controlar los interruptores y los cortacircuitos de la subestación eléctrica directamente. Esto se hace usando protocolos de comunicación industrial utilizados alrededor del mundo en la infraestructura de producción de energía, sistemas de control de transporte y otros sistemas de infraestructura crítica (tales como agua y gas).

En particular, Industroyer usa protocolos en una forma común y su componente principal es una puerta tarasera  que los atacantes utilizan para instalar y controlar los componentes. El malware se conecta a un servidor remoto para recibir comandos y enviar reportes a los atacantes.

Lo que lo hace diferente es su uso de cuatro componentes de carga útil, los cuales están diseñados para obtener control directo de los interruptores y cortacircuitos en una subestación de distribución eléctrica. Estos trabajan en etapas para mapear una red y emitir comandos para que trabajen con dispositivos de control industriales específicos.

También utiliza el software Tor para comunicarse de forma privada con servidores de comandos y control, mientras que un backdoor adicional está diseñado para obtener acceso a la red usada como blanco en caso de que el backdoor principal no sea detectado y/o esté deshabilitado.

Anton Cherepanov, investigador del malware en ESET, dijo: "Dado que es universal, y por eso es que se puede usar para atacar cualquier sistema de control industrial usando alguno de los protocolos de comunicación en los que se enfocan; algunos de los componentes en las muestras analizadas fueron diseñados para dirigirse hacia un hardware en particular. Por ejemplo, el componente de borrado y uno de los componentes de carga útil están hechos a la medida para ser usados en contra de sistemas que incorporan ciertos productos de control de energía industrial de ABB y el componente DoS trabaja específicamente contra dispositivos SIPROTECT de Siemens utilizados en subestaciones eléctricas y otros campos relacionados de aplicación" .

"Gracias a su habilidad de permanecer en el sistema para proveer valiosa información para ajustar las cargas útiles altamente configurables, los atacantes podrían adaptar el malware a cualquier entorno, lo que lo hace extremadamente peligroso. Sin importar que el ataque reciente a la red energía ucraniana fuera una prueba o no, debe servir como una llamada de atención para aquellos responsables de la seguridad de sistemas críticos alrededor del mundo".

ESET reconoció que la investigación acerca del corte de energía ucraniano aún está en progreso, por lo que no puede confirmar que el malware Industroyer fuera la causa directa.

"Sin embargo, creemos que eso es una explicación muy probable, dado que el malware es capaz de controlar directamente interruptores y cortacircuitos en subestaciones la red energética usando cuatro protocolos ICS y contiene una fecha de activación para el 17 de diciembre de 2016 el día del corte de energía", declaró su reporte oficial.

Andrea Carcano, cofundador y jefe de producto en Nozomi Networks, le dijo a Infosecurity que, como resultado de trabajar de cerca con compañías globales de sistemas de energía, conoce los protocolos de comunicación a profundidad y si la infección del malware Industroyer ocurriera en un sistema donde su solución (SCADAguardian) estaba operando, detectaría los mensajes inusuales y enviaría alertas que ayudarían a mitigar el impacto.

"Después de años de trabajar de forma cercana con compañías globales de generación de energía, hemos visto que las comunicaciones de red a través de las centrales son por lo general muy estables y eso una vez establecido, es posible para detectar anomalías", dijo él. "Los mensajes inusuales que usen protocolos de comunicación regulares de sistemas de energía pueden ser identificados y marcados y se pueden tomar acción sobre ellos antes de que ocurra un corte de energía".

Carcano llamó a las implicaciones del malware Crash Overrride o el malware Industroyer “significativas” a diferencia de Stuxnet el cual fue diseñado para atacar una planta de enriquecimiento de uranio en particular, este malware tiene más alcance y podría afectar a las redes energéticas en muchos países.

– Recomendamos que los empresas de servicios públicos monitoreen y mejoren sus programas de ciber-recuperación, incluyendo implementar ciberseguridad ICS en tiempo real y soluciones de visibilidad –.