Verdad, Inspiración, Esperanza

Advierten que el hardware crítico de la red eléctrica de EE.UU. es vulnerable a los ataques de hackers

Neil vive en Canadá y escribe sobre sociedad y política.
Published: 25 de abril de 2022
El "interruptor de Sandow" que una vez fue utilizado por la planta de energía de carbón de Alcoa ahora proporciona electricidad para la instalación de minería de Bitcoin de Whinstone U.S. en Rockdale, Texas, el 9 de octubre de 2021. El 13 de abril, CISA advirtió que el hardware crítico de la red eléctrica estadounidense tiene vulnerabilidades abiertas que son objetivo de grupos APT, que suelen ser equipos de hackers de gobiernos extranjeros. (Imagen: MARK FELIX/AFP /AFP vía Getty Images)

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del Gobierno de los Estados Unidos ha advertido que los dispositivos de hardware críticos utilizados en la red eléctrica estadounidense y producidos por tres grandes fabricantes son presa fácil para los grupos de amenazas persistentes avanzadas (APT).

Hardware crítico

En un aviso de ciberseguridad (CSA) emitido el 13 de abril junto con el DOE, el FBI y la NSA, CISA declaró que los APT «han mostrado la capacidad de obtener acceso total al sistema» a los dispositivos del Sistema de Control Industrial (ICS) y de Control de Supervisión y Adquisición de Datos (SCADA).

En concreto, son vulnerables los controladores lógicos programables (PLC) fabricados por Schneider Electric y OMRON, además de los servidores de arquitectura unificada de comunicaciones de plataforma abierta.

Según la CSA, están afectados los siguientes modelos específicos de dispositivos:

  • PLCs MODICON y MODICON Nano de Schneider Electric

TM251, TM241, M258, M238, LMC058 y LMC078

  • PLCs Sysmac NJ y NX de OMRON

NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK y R88D-1SN10F-ECT

  • Todos los servidores de arquitectura unificada OPC (OPC UA)

Tecnología operativa

La CSA explica que las herramientas descubiertas por las agencias federales de defensa de la ciberseguridad que están siendo empleadas por grupos APT tienen la funcionalidad de «escanear, comprometer y controlar los dispositivos afectados» después de que una red de tecnología operativa (OT) haya sido violada con éxito.

El vector de ataque de la tecnología operativa es muy preocupante y contrasta con los vectores de ataque más conocidos, como la violación de servidores de software de correo electrónico, como Microsoft Exchange.

CRISIS DE LA CADENA ALIMENTARIA Y DE SUMINISTRO

Un artículo del 7 de febrero de Red Hat define OT como «la práctica de utilizar hardware y software para controlar equipos industriales, y que interactúa principalmente con el mundo físico».

«Los entornos OT supervisan procesos físicos como la fabricación, la energía, la medicina, la gestión de edificios y otras industrias», añade Red Hat.

En particular, CISA también advirtió que la infraestructura de hardware crucial puede ser violada mediante la explotación de estaciones de trabajo basadas en Windows que se utilizan en el sitio si los dispositivos están equipados con un tipo particular de placa base ASRock que utiliza un controlador con una vulnerabilidad conocida.

Vector de ataque modular

El CISA explica que la suite de exploits empleada por las APTs presenta una arquitectura modular, emulando la interfaz de comandos de los controladores de la infraestructura objetivo, un enfoque notable que permite que los asaltos «por parte de actores cibernéticos menos cualificados emulen las capacidades de los actores más cualificados».

El vector de ataque modular permite a los atacantes «escanear los dispositivos objetivo, realizar un reconocimiento de los detalles del dispositivo, cargar configuración/código malicioso en el dispositivo objetivo, hacer una copia de seguridad o restaurar el contenido del dispositivo y modificar los parámetros del dispositivo».

Ataques recientes

En mayo de 2021, Colonial Pipeline Co., el mayor oleoducto de Estados Unidos, sufrió un notable ataque de ransomware por parte del grupo de hackers llamado «Darkside».

En ese momento, Colonial suministraba a más del 50% de la costa este de Estados Unidos más de 2,5 millones de barriles diarios de combustible para aviones, diésel y gasolina transportados desde la costa del Golfo.

Después de vulnerar los sistemas de Colonial, Darkside robó más de 100 gigabytes de datos antes de bloquear todos los sistemas de la empresa y exigió un fuerte rescate en criptomonedas.

MÁS SOBRE EL COLAPSO SOCIAL:

Aunque Colonial declaró públicamente que no tenía intención de pagar el rescate, de hecho, pagó a Darkside 75 BTC a cambio de una herramienta para eliminar los bloqueos del grupo de sus sistemas.

Sin embargo, el software proporcionado era tan lento y engorroso que a Colonial le resultó más rápido restaurar su red a partir de su propia copia de seguridad.

Debido al descuido de los individuos detrás de Darkside, el DOJ pudo recuperar 64 BTC después de que se transfirieran a una dirección que el FBI declaró que estaba «en posesión del FBI en el Distrito Norte de California», que muy probablemente podría haber sido la cartera de un importante intercambio de criptodivisas que servía como rampa de salida de moneda fiat y que posteriormente fue incautada por las fuerzas del orden federales.

Sin embargo, aunque Colonial pagó la asombrosa cifra de 57.300 dólares por BTC en el momento de la transacción, casi un máximo histórico, cuando se recuperaron las monedas, el precio había caído a 34.000 dólares después de que el Partido Comunista Chino (PCCh) aplicara una serie de medidas políticas contra los mineros, que están fuertemente centralizadas en manos de entidades ubicadas en China continental y controladas por China continental.

Relación con la red eléctrica

Un artículo de enero de 2019 de Informaconnect, una empresa de análisis con sede en el Reino Unido que presume de tener 8 millones de clientes globales, entre los que se encuentran múltiples empresas de la lista Fortune 500, arrojó luz sobre una batalla ya existente entre las empresas energéticas y las empresas de ciberseguridad, por un lado, y por el otro se encuentran «hackers civiles o delincuentes organizados, motivados por el lucro», además de «actores estatales o terroristas».

Informaconnect señaló que el tristemente célebre gusano Stuxnet de 2010, que paralizó el programa nuclear iraní, «fue el primero de una nueva clase de malware desarrollado con conocimiento de las vulnerabilidades de los sistemas de control industrial (ICS)».

El artículo dilucidaba la relevancia para el resto del mundo cuando afirmaba: «Mientras que un ataque criminal podría consistir en un ransomware diseñado para restringir el acceso a datos valiosos, el malware adaptado a los ICS está pensado específicamente para ser utilizado en objetivos físicos como subestaciones, instalaciones petroquímicas o centrales eléctricas».

«También es mucho más probable que sean herramientas de un estado extranjero que de un actor civil», añadió la empresa.

Además, el prominente Consejo de Relaciones Exteriores (CFR) declaró en un artículo de mayo de 2021 que examina la estructura y el funcionamiento de la red eléctrica de Estados Unidos, que «la creciente dependencia de la red de los sistemas digitales aumenta la posibilidad de ciberataques».

«Desde la década de 1970, los operadores de la red han confiado en centros electrónicos de control industrial (CI) que generalmente no están protegidos contra programas maliciosos como el virus Stuxnet, que tuvo como objetivo las instalaciones nucleares iraníes en 2010», añadió el CFR.

Ucrania

Cabe destacar que Informaconnect citó que los dos ataques a la red eléctrica más importantes dirigidos a los equipos ICS de la red eléctrica en ese momento habían ocurrido nada menos que en Ucrania.

El primero, en diciembre de 2018, derribó 30 subestaciones y dejó sin energía a casi un cuarto de millón de ciudadanos.

«Se cree que los hackers responsables del ataque habrían pasado meses de preparación, estudiando los diversos sistemas utilizados para regular la red eléctrica ucraniana», afirmaba el artículo.

GUERRA CON RUSIA

El segundo, ocurrido en 2016, «dejó fuera de servicio una quinta parte de la red eléctrica de Kiev durante aproximadamente una hora».

«Para los operadores de la red eléctrica fuera de Ucrania, el aspecto más preocupante del ataque» fue que el exploit específico demostró «evidencia de haber sido diseñado para ser utilizado contra las redes eléctricas de otros países», añadió la empresa.

APTs y actores estatales

El líder de la industria tecnológica, Cisco, afirma en su sitio web que «la intención de una APT es exfiltrar o robar datos, más que causar una interrupción de la red, una denegación de servicio o infectar sistemas con malware».

Aunque Cisco afirma que las APT suelen emplear «tácticas de ingeniería social» durante o con el fin de explotar las vulnerabilidades del software, «numerosas entidades -grandes y pequeñas, del sector público y privado- pueden beneficiarse de una amenaza avanzada persistente y exitosa».

En particular, la empresa también citó el gusano Stuxnet al afirmar además: «Muchos sospechan que los gobiernos y los estados nación han utilizado ataques APT para interrumpir operaciones militares o de inteligencia específicas».

En marzo de 2021, el equipo de piratas informáticos HAFNIUM, patrocinado por el PCCh, causó estragos con exploits de día cero contra los servidores de correo electrónico de Microsoft Exchange, utilizando servidores web alquilados en Estados Unidos para blanquear el mecanismo.

Pero la instancia de HAFNIUM no era la más señalada.

Apenas un mes antes, Check Point Research (CPR) publicó un examen minucioso y convincente de cómo un segundo equipo patrocinado por el PCCh, designado como «APT 31 [Zirconium]», había logrado de alguna manera replicar un conjunto de exploits de día cero de grado nacional llamado «EpMe» utilizado por el equipo Equation de la NSA, líder mundial, creando su propia versión apodada «Jian».

En particular, aunque CPR encontró pruebas concretas de que APT 31 había generado Jian ya en 2014, mientras que las vulnerabilidades a las que apuntaba en la infraestructura de software crítica no fueron parcheadas hasta finales de 2017, APT 31 parecía utilizar el conjunto de forma torpe y estaba claramente confundido en cuanto a cómo funcionaban realmente las herramientas de la NSA.

Como resultado, el ejemplo puso en duda cómo APT 31 tuvo la capacidad de obtener los exploits de grado nacional de la NSA en primer lugar si los mejores y más brillantes del PCCh no fueron capaces de entender siquiera cómo utilizar las herramientas de grado nacional de sus competidores estadounidenses.

La RCP advirtió: «Hay una teoría que afirma que si alguien consiguiera robar y utilizar herramientas cibernéticas de grado nacional, cualquier red dejaría de ser fiable, y el mundo se convertiría en un lugar muy peligroso para vivir».

«Hay otra teoría que afirma que esto ya ha ocurrido», opinaron.

Consecuencias en Estados Unidos

La demostración más acentuada del riesgo de fallo de la red eléctrica se produjo en Texas durante una tormenta invernal muy anómala en febrero de 2021, en la que un intenso frente frío pasó por la región desde el normalmente cálido Golfo de México.

La tormenta se atribuyó a los movimientos generados por cambios especialmente curiosos en el vórtice polar atribuidos al calentamiento atmosférico.

Cuando las temperaturas cayeron por debajo de los cero grados centígrados, más de 5 millones de personas en Texas y Dakota del Norte se vieron sumidas en la oscuridad, mientras los ingenieros eléctricos del estado se esforzaban por mitigar el colapso de la red eléctrica, ya que la mayoría de los pozos de gas natural de Texas, que no estaban preparados para soportar temperaturas bajo cero, se congelaron.

Además, los aerogeneradores también quedaron inoperativos durante el temporal. En conjunto, el estado perdió 34 gigavatios de generación de energía al mismo tiempo que la demanda se disparó en una región donde el clima es normalmente cálido y sus habitantes no estaban preparados para soportar las temperaturas bajo cero.

Según un informe del 1 de enero de 2022 de The Texas Tribune, la catástrofe fue una de las peores de la historia del estado y se cobró 246 vidas, y el Departamento de Servicios de Salud del Estado (DSHS) atribuyó dos tercios de las muertes a la hipotermia.

«Además de la hipotermia, el DSHS atribuyó las muertes relacionadas con la tormenta a la ‘exacerbación de enfermedades preexistentes’ (10%), accidentes de vehículos de motor (9%), intoxicación por monóxido de carbono (8%), incendios (4%) y caídas (4%)», afirma el artículo.

La tormenta no sólo se cobró un tremendo precio en vidas humanas, sino que durante la crisis el Consejo de Fiabilidad Eléctrica de Texas empezó a cobrar hasta 9.000 dólares por megavatio-hora de electricidad, lo que llevó a la quiebra a varias empresas y dejó a algunos residentes con facturas de cinco cifras.