Resumen ejecutivo En septiembre de 2024, el grupo hacktivista prorruso Just Evil y posiblemente el grupo Beregini respaldado por el estado lideraron un ciberataque coordinado a la infraestructura energética de Lituania. Los atacantes afirmaron tener como objetivo la solución de monitoreo fotovoltaico utilizada por el holding energético estatal Ignitis Group. Just Evil es una facción que surgió de la división del grupo Killnet, mientras que Beregini ejemplifica la compleja interacción del hacktivismo y las operaciones cibernéticas patrocinadas por el estado en el contexto del conflicto entre Rusia y Ucrania. Opera bajo la apariencia de un grupo ucraniano mientras se alinea estrechamente con los intereses prorrusos. Just Evil supuestamente accedió al panel de monitoreo de energía de 22 clientes de Ignitis, incluidos hospitales y academias militares, a través de una plataforma de monitoreo fotovoltaico comprometida en la ciudad de Kaunas. Este es el último de una serie de ciberataques a Ignitis, luego de incidentes DDoS anteriores en 2022 y más en 2024, que afectaron los servicios de distribución de energía de la empresa. Figura 1 – El supuesto ataque de Just Evil a la solución de monitorización fotovoltaica de Lituania Ataques anteriores a la infraestructura energética de Lituania El primer ataque significativo contra Ignitis fue orquestado por Killnet en 2022 en represalia a la prohibición de Lituania del tránsito de mercancías a la región rusa de Kaliningrado. La gravedad del ataque se puede juzgar por el hecho de que el Centro Nacional de Seguridad Cibernética de Lituania tuvo que intervenir para contenerlo, y esto fue ampliamente reportado en los medios. Figura 2 – Artículo en los medios locales sobre los ataques DDoS a Lituania en 2022 A principios de febrero de 2024, el grupo cibercriminal ruso Just Evil supuestamente obtuvo acceso no autorizado al panel de control de la aplicación Ignitis ON, un servicio que ayuda a los propietarios de vehículos eléctricos a cargar sus coches. El grupo hacktivista proporcionó evidencia en vídeo de cómo cerraban el acceso de los usuarios a las estaciones de carga y eliminaban a los usuarios del panel de control. También exigieron un rescate para cesar los ataques y para no filtrar los datos de los usuarios. Según los medios locales, Ignitis aceptó la infracción y no pagó el rescate. Como resultado, Just Evil filtró datos de usuarios que contenían detalles de más de 20.000 propietarios de vehículos eléctricos, datos de empleados, claves de acceso y firmware para estaciones de carga de vehículos. Más tarde, Just Evil también anunció la venta de acceso de administrador a la plataforma Igntis ON por 50.000 euros. Figura 3: Afirmaciones de Just Evil sobre la obtención de acceso a la aplicación Ignitis ON Unos días más tarde, el grupo afirmó que pudieron acceder a la aplicación Ignitis On a través de una vulnerabilidad llamada «Factor humano», lo que posiblemente indica ingeniería social y el uso de credenciales válidas para obtener acceso. El grupo también mencionó haber desfigurado el panel después de obtener acceso ilícito. Figura 4: Afirmaciones de Just Evil después de atacar a Ignitis en la aplicación Análisis del incidente dirigido a la solución de monitorización solar fotovoltaica Tras una investigación más detallada de las capturas de pantalla compartidas por Just Evil en su canal de Telegram, Cyble Research & Intelligence Labs (CRIL) investigó las soluciones de monitorización fotovoltaica de Ignitis que se vieron afectadas de forma plausible y determinó que se trataba de iSolarCloud de Sungrow. Nuestra búsqueda de código abierto también consolidó el hecho de que Ignitis usa iSolarCloud para administrar la electricidad generada por energía solar. Por lo tanto, considerando las capturas de pantalla del panel comprometido, las afirmaciones de Just Evil parecen creíbles. iSolarCloud de Sungrow ofrece varias funciones para la administración, monitoreo y optimización centralizada de sistemas de energía solar. La plataforma ofrece monitoreo en tiempo real de sistemas solares, rastreando la producción de energía, el consumo y el rendimiento del inversor. Proporciona análisis de datos para tendencias de rendimiento, seguimiento de la eficiencia y alertas de fallas, lo que permite diagnósticos remotos y mantenimiento predictivo. Figura 5: capturas de pantalla de la plataforma de monitoreo fotovoltaico supuestamente atacada publicada por Just Evil en Telegram Figura 6: un extracto del Manual de mantenimiento del usuario de Sungrow de Ignitis (Fuente: Ignitis) Si bien la TA afirmó apuntar a múltiples entidades lituanas, como hospitales, gimnasios e instalaciones educativas, CRIL evaluó que la TA pudo acceder a las plantas de energía solar de las instituciones mencionadas anteriormente a través de la plataforma iSolarCloud que proporciona una solución de administración fotovoltaica centralizada para administrarlas, en lugar de comprometerlas individualmente. Teniendo en cuenta los nombres de las entidades lituanas que se indican en la captura de pantalla a continuación, evaluamos que esta plataforma iSolarCloud puede estar en uso por Ignitis. Figura 7: captura de pantalla de la plataforma de monitoreo fotovoltaico centralizada supuestamente atacada que administra entidades lituanas Al observar el historial de ataques del grupo, CRIL evalúa que el «Uso de credenciales válidas» podría ser el probable vector de ataque inicial en este incidente. Conjugado con esta hipótesis, Cyble Vision también identificó credenciales comprometidas recientemente pertenecientes a instancias de ISolarCloud en Europa. Figura 8: Credenciales comprometidas observadas para iSolarCloud a través de Cyble Vision Usando el escáner ODIN de Cyble, CRIL investigó otras soluciones de monitoreo fotovoltaico de Lituania y descubrió que estaban expuestas en Internet y podrían ser atacadas en el futuro cercano. Conclusión La generación y distribución de energía solar son fundamentales para los servicios esenciales de una nación. El reciente ataque a una plataforma de monitoreo fotovoltaico centralizada, que apuntó a múltiples ubicaciones simultáneamente, representa una amenaza significativa para el sector energético de Lituania. Como observó Cyble Vision, existen numerosas credenciales comprometidas para usuarios de la plataforma iSolarCloud de varias regiones, incluidas Europa y China. CRIL sugiere que dichas credenciales comprometidas podrían representar un riesgo grave, y podrían usarse para atacar sistemas de infraestructura críticos. A nivel mundial, el sector de la energía solar se ha convertido cada vez más en un objetivo para los ciberdelincuentes, con incidentes como ataques de ransomware, violaciones de datos y explotación del acceso remoto cada vez más frecuentes. El impacto de dichos ataques se extiende más allá de las interrupciones operativas inmediatas, y potencialmente socava la seguridad energética nacional, causa daños financieros y afecta la confianza pública en las tecnologías de energía renovable. Recomendaciones Mejorar la segmentación de la red: utilizar firewalls y redes LAN virtuales (VLAN) para separar los sistemas de control críticos de las redes no esenciales. Aislar las plataformas de monitoreo de otros segmentos de la red para limitar el movimiento lateral de las amenazas. Implementar medidas de autenticación sólidas: un método clave para prevenir el acceso no autenticado debido a credenciales comprometidas es implementar la autenticación multifactor (MFA) obligatoria para acceder a los sistemas de monitoreo y control solar. Emplee contraseñas sólidas y únicas y actualícelas periódicamente. Auditorías de seguridad y pruebas de penetración periódicas: fomente una cultura de conciencia cibernética con evaluaciones de seguridad de rutina y pruebas de penetración en sistemas de energía solar, incluidos inversores, plataformas de monitoreo y dispositivos de red, para ayudar a detectar y abordar vulnerabilidades antes de que puedan explotarse. Administración de parches y actualizaciones de firmware: establezca una política de administración de parches sólida para garantizar que todos los sistemas, incluidos inversores y plataformas de monitoreo, estén actualizados con los últimos parches de seguridad y actualizaciones de firmware. Verifique regularmente las actualizaciones de los fabricantes de equipos. Implemente detección y respuesta avanzadas ante amenazas: recuerde utilizar sistemas de detección de intrusiones (IDS) junto con sistemas de prevención de intrusiones (IPS) y herramientas de administración de eventos e información de seguridad (SIEM) para supervisar, identificar y abordar actividades potencialmente maliciosas en toda la red. Acceso remoto seguro: restrinja el acceso remoto a sistemas críticos a través de VPN, limite el acceso solo al personal autorizado y monitoree las sesiones remotas para detectar cualquier actividad inusual. Deshabilite los puertos y servicios no utilizados para reducir las superficies de ataque. Programas de capacitación y concientización de empleados: capacite a los empleados y operadores sobre las mejores prácticas de ciberseguridad, incluido el reconocimiento de intentos de phishing y el manejo adecuado de información confidencial. Actualice periódicamente al personal sobre las amenazas emergentes y los vectores de ataque específicos del sector solar. Planificación de respuesta a incidentes y recuperación ante desastres: cree planes detallados de respuesta a incidentes y recuperación ante desastres adaptados al sector solar. Asegúrese de que existan procedimientos de respuesta para aislar y mitigar rápidamente los ataques, minimizar el tiempo de inactividad y restablecer las operaciones normales. Implemente el monitoreo de la Dark Web: monitoree regularmente los foros, mercados y otros canales clandestinos de la Dark Web en busca de credenciales robadas, datos confidenciales o discusiones relacionadas con su infraestructura solar. Utilice plataformas de inteligencia de amenazas para detectar información comprometida de manera temprana, lo que permite medidas proactivas como restablecimientos de credenciales, auditorías del sistema y protocolos de seguridad mejorados para evitar una mayor explotación. Minimice la exposición a Internet de sistemas críticos: restrinja la exposición a Internet de sistemas críticos de monitoreo y control solar al garantizar que no sean accesibles directamente desde Internet público. Utilice puertas de enlace seguras, VPN y controles de acceso para proteger los activos críticos. Implemente reglas de firewall estrictas y escanee regularmente su red en busca de servicios expuestos para reducir el riesgo de acceso no autorizado. Referencias: https://faq.isolarcloud.com/web_faq/manage/#/_en_US/a2https://web3.isolarcloud.com.hk/#/loginhttps://en.sungrowpower.com/productDetail/987/cloud-platform-isolarcloud Haga clic para acceder a saules-elektrines-su-sungrow-keitikliu-naudojimosi-ir-eksploatavimo-instrukcija.pdf