Seguridad de infraestructura crítica, gobernanza y gestión de riesgos, tecnología operativa (OT) El malware específico de ICS utiliza el protocolo Modbus para ataques disruptivosPrajeet Nair (@prajeetspeaks) • 23 de julio de 2024 Foto de archivo sin fecha de Lviv, Ucrania, en invierno (Imagen: Shutterstock) Los piratas informáticos utilizaron un nuevo malware para inutilizar el sistema de calefacción de 600 edificios de apartamentos durante el invierno en Ucrania, en un desarrollo que plantea una amenaza más amplia para la infraestructura crítica. Los investigadores de ciberseguridad de Dragos bautizaron el martes al nuevo malware «FrostyGoop» y dijeron que su despliegue en enero provocó que los civiles soportaran aproximadamente dos días de temperaturas bajo cero. La empresa de ciberseguridad de tecnología operativa no atribuye el ataque, aunque Ucrania lleva ya tres años repeliendo a los invasores rusos que han atacado las instalaciones energéticas (véase: El sector energético ucraniano bajo asedio cibernético por parte de piratas informáticos rusos). Ver también: De los mitos antiguos a las amenazas modernas: cómo asegurar la transición de lo heredado a lo vanguardista El Centro de Situación de Seguridad Cibernética de Ucrania dijo que FrostyGoop se utilizó en un ciberataque a una instalación energética en la ciudad de Lviv, en el oeste de Ucrania. Un portavoz no proporcionó detalles adicionales. Wired informó que la descripción del ataque de Dragos coincide estrechamente con un corte de enero en la empresa de servicios públicos Lvivteploenergo, que provocó la pérdida de calefacción y agua caliente para 100.000 personas. El alcalde de Lviv, Andriy Sadovyi, dijo en Telegram en ese momento que las autoridades sospechaban de una «interferencia externa». Los piratas informáticos probablemente obtuvieron acceso a la red víctima a través de una «vulnerabilidad indeterminada en un enrutador externo», dijo Dragos. Los piratas informáticos pudieron acceder a los controladores del sistema ENCO fabricados por la firma lituana Axis Industries debido a la falta de segmentación de la red. A diferencia de otro malware desarrollado para sistemas de control industrial, FrostyGoop puede interactuar directamente con la tecnología operativa utilizando el protocolo de red estándar conocido como Modbus TCP. “El potencial de interactuar directamente con varios dispositivos ICS plantea una grave amenaza para la infraestructura crítica en múltiples sectores”, dijeron los investigadores. El principal cazador de adversarios de Dragos, Mark “Magpie” Graham, dijo que la empresa ha identificado al menos 40 controladores ENCO en Europa expuestos a Internet abierto, lo que los hace vulnerables a ataques similares. Estos dispositivos, junto con más de 46.000 dispositivos Modbus TCP expuestos en todo el mundo, podrían ser manipulados por actores maliciosos para modificar parámetros y enviar comandos no autorizados. Los atacantes probablemente obtuvieron acceso a la red objetivo en abril de 2023 y continuaron accediendo a la red antes de apagar la energía el 22 de enero. Dragos descubrió que los piratas informáticos se conectaron utilizando direcciones IP con sede en Moscú. FrostyGoop puede leer y escribir en los registros de retención de un dispositivo ICS, que contienen entradas, salidas y datos de configuración. El malware está escrito en Golang y compilado para sistemas Windows. Acepta argumentos de ejecución de línea de comandos opcionales y utiliza archivos de configuración separados para apuntar a direcciones IP y comandos Modbus, registrando la salida en una consola o archivo JSON. FrostyGoop es el noveno malware conocido específicamente para sistemas de control industrial, según Dragos. Las advertencias sobre la exposición de la tecnología operativa a un riesgo creciente han aumentado a la par del impulso de Rusia para conquistar Ucrania. La agencia de seguridad de Europa advirtió en 2022 que los grupos de piratas informáticos respaldados por el estado prestarán más atención a la tecnología operativa a medida que la geopolítica influya en el panorama de las ciberamenazas. El riesgo no se limita a Europa. Los funcionarios estadounidenses dijeron a principios de este año que un grupo de piratas informáticos chino rastreado como Volt Typhoon probablemente se estaba posicionando previamente para lanzar ciberataques destructivos (ver: Así es como el FBI detuvo una importante campaña de piratería china). URL de la publicación original: https://www.databreachtoday.com/hackers-froze-ukrainian-heating-systems-in-winter-a-25830