Cualquier empresa que sea estratégica podría ser blanco de acciones del mismo tipo que este ciberataque. Siga estos consejos para mitigar el riesgo de su empresa ante esta amenaza de ciberseguridad. Mandiant, una empresa de ciberseguridad propiedad de Google, ha revelado los detalles de un ciberataque de 2022 dirigido por el actor de amenazas ruso Sandworm. El actor de amenazas comprometió una organización ucraniana de infraestructura crítica para manipular su entorno tecnológico operativo, lo que provocó un corte de energía que coincidió con ataques masivos con misiles. Luego, Sandworm intentó causar más interrupciones y eliminar toda evidencia de su funcionamiento dos días después implementando y ejecutando una variante del malware CADDYWIPER. Este ciberataque es un ejemplo sorprendente de la evolución de los objetivos OT durante tiempos de guerra. Cualquier empresa que sea estratégica para un atacante podría ser objetivo del mismo tipo de acciones. Saltar a: Cronología de este ataque de ciberseguridad Todo comenzó alrededor de junio de 2022, cuando Sandworm obtuvo acceso al entorno de TI de una organización de infraestructura crítica ucraniana. El actor de amenazas implementó un conocido webshell, Neo-reGeorg, en un servidor de Internet de la víctima. Aproximadamente un mes después, el grupo implementó GOGETTER, un conocido software de creación de túneles personalizado utilizado anteriormente por el grupo. El malware representaba las comunicaciones entre el sistema objetivo y el servidor de comando y control del atacante y se volvía persistente en caso de que se reiniciara el servidor. Luego, el grupo de amenazas accedió al entorno OT «a través de un hipervisor que albergaba una instancia de gestión de control de supervisión y adquisición de datos (SCADA) para el entorno de la subestación de la víctima», según los investigadores de Mandiant, quienes afirmaron que el atacante potencialmente tuvo acceso al sistema SCADA durante hasta a tres meses. El 10 de octubre de 2022, el actor de amenazas ejecutó repentinamente comandos MicroSCADA en el sistema. La acción se realizó aprovechando un archivo ISO, un CD-ROM virtual que contenía dos scripts y un archivo de texto. El sistema fue configurado para permitir que los CD-ROM insertados se inicien automáticamente cuando se insertan. Esos archivos se utilizaron para ejecutar un binario MicroSCADA nativo dentro del sistema, scilc.exe (Figura A). Figura A Cadena de ejecución en el entorno SCADA del objetivo. Imagen: Mandiant El archivo legítimo scilc.exe del paquete de software MicroSCADA permite la ejecución de comandos escritos en el lenguaje de implementación de control de supervisión, que generalmente son declaraciones basadas en texto. Aunque los investigadores de Mandiant no pudieron identificar los comandos SCIL ejecutados por Sandoworm, creen que los comandos probablemente fueron emitidos para abrir disyuntores en los entornos de la subestación de las víctimas, apagando así la subestación de la víctima. Cobertura de seguridad de lectura obligada Según Mandiant, el ataque provocó un corte de energía no programado. Dos días después de este evento, el actor de amenazas instaló una nueva variante del malware CADDYWIPER en el entorno del objetivo para causar más interrupciones y potencialmente eliminar artefactos forenses que podrían conducir al descubrimiento de la operación. CADDYWIPER está limpiando software que Sandworm utilizó anteriormente contra objetivos ucranianos y que se observó en operaciones disruptivas en múltiples intrusiones. En el ataque reportado, el limpiador no alcanzó el hipervisor de la máquina virtual SCADA que estaba comprometida, lo cual es inusual, según Mandiant. Los investigadores de seguridad concluyen que esta falta de eliminación de pruebas «podría deberse a una falta de coordinación entre los diferentes individuos o subequipos operativos involucrados en el ataque». VER: Tendencias de ciberseguridad de Google Cloud a tener en cuenta en 2024 (TechRepublic) ¿Quién es Sandworm? Sandworm es un actor de amenaza destructiva que ha sido atribuido a la Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de Rusia, Unidad Militar 74455. El grupo ha estado activo desde al menos 2009. Seis oficiales de la Unidad 74455 asociados con Sandworm fueron acusados en 2020 de varias operaciones: ataques contra empresas eléctricas y organizaciones gubernamentales ucranianas; los objetivos de la campaña presidencial francesa de 2017, el ataque del Destructor Olímpico de 2018 contra los Juegos Olímpicos, la operación de 2018 contra la Organización para la Prohibición de Armas Químicas y los ataques contra Georgia en 2018 y 2019. Sandworm expone las capacidades cibernéticas ofensivas orientadas a OT de Rusia Sandworm El último ataque, además de los ataques anteriores originados en Rusia, como los incidentes de Industroyer, que también apuntaron a OT, muestran los esfuerzos de Rusia para optimizar las capacidades de ataque de OT a través de funciones de implementación simplificadas, según Mandiant. Los investigadores mencionaron “una inversión continua en capacidades cibernéticas ofensivas orientadas a OT y un enfoque general para atacar los sistemas de TI” (Figura B). Figura B Actividad histórica del nexo entre Rusia y el impacto en OT. Imagen: Mandiant Un cambio significativo en las técnicas utilizadas por Sandworm es el uso del binario nativo Living Off The Land, también conocido como LotLBin, que ahora utilizan tanto para entornos OT como para entornos TI habituales. Este cambio probablemente disminuyó los recursos necesarios para los ataques de Sandworms y al mismo tiempo dificultó que los defensores detectaran la actividad fraudulenta. El momento de este ataque de Sandworm también es intrigante. Como reveló Mandiant, los atacantes potencialmente desarrollaron la capacidad disruptiva tres semanas antes del incidente de OT, pero es posible que hayan estado esperando un momento específico para desplegar la capacidad. «La eventual ejecución del ataque coincidió con el inicio de una serie de ataques coordinados con misiles de varios días de duración contra infraestructura crítica en varias ciudades ucranianas, incluida la ciudad en la que se encontraba la víctima», escribe Mandiant. Cómo protegerse de esta amenaza de ciberseguridad Los administradores de seguridad o los profesionales de TI deben seguir estos consejos para mitigar el riesgo de esta amenaza de ciberseguridad. Harden MicroSCADA y otros hosts de gestión SCADA. Estos sistemas deben estar actualizados, parcheados y configurados para requerir autenticación y restringir el acceso solo a los usuarios obligatorios de los sistemas. Implementar la segmentación de la red entre los sistemas SCADA y el resto de la red de la organización. Agregar archivos de registro a un servidor central y analizarlos cuidadosamente y constantemente para detectar posibles usos fraudulentos o alteraciones de los sistemas SCADA. Monitorear y analizar cualquier transferencia de archivos relacionados con los sistemas SCADA. Es necesario investigar cualquier cambio sospechoso en la configuración o los datos de SCADA. Realizar auditorías periódicas de seguridad de los sistemas SCADA para identificar posibles vulnerabilidades o malas configuraciones que puedan afectar la seguridad de los sistemas. Realice copias de seguridad periódicas para facilitar la recuperación en caso de algún incidente de seguridad o ciberataque a los sistemas SCADA. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
Deja una respuesta