Los sistemas de control industrial: víctimas de los hackers

Los ciberdelincuentes están, de forma activa, atacando a sistemas de control industrial (ICS), con el propósito de comprometer sus operaciones, de acuerdo a los datos recogidos de una red “cepo” (honeypot) que simula sistemas de bombeo de agua.

La honeypot que simulaba una bomba de agua, fue diseñada para atraer a los atacantes y fue creada por Kyle Wilhoit, un investigador de amenazas de Trend Micro. Él compartió algunos hallazgos encontrados en Marzo, basándose en sistemas originales desplegados en Estados Unidos.

El investigador compartió estos datos relativos a ataques en la conferencia Black Hat el pasado jueves y también puso en conocimiento las herramientas utilizadas para que los dueños de estos sistemas industriales lo tuvieran en cuenta.

Desde Marzo, Kyle ha hecho cambios significativos en la arquitectura de su red cepo. Virtualizó y desplegó su sistema en otros países, incluyendo Brasil, Rusia, China, Irlanda, Singapur, Japón y Australia. i

Esta nueva arquitectura utiliza una herramienta llamada Browser Exploitation Framework (BeFF) para inyectar código JavaScript en los navegadores de los atacantes si ellos entran en el sistema y en áreas de seguridad.

La inyección no es maliciosa por naturaleza, pero permite que el operador de la honeypot obtenga información acerca del ordenador del atacante, lo que, significativamente mejora la posibilidad de confirmar que los ataques proceden de dicho ordenador. El código Javascript puede hacer triangulación WI-FI para determinar la localización del atacante y puede recopilar información acerca de su ordenador, red local, incluyendo el sistema operativo que tiene, el nombre de ordenador y hasta su dirección IP.

Wilhoit ha identificado 74 ataques contra sistemas de control industriales gracias a redes cepo, 10 de los cuales pueden ser considerados críticos y podrían haber comprometido la integridad de bombas de agua.  .

En una ocasión, un atacante intentó cambiar la temperatura del agua a I 130 grados Fahrenheit y en otros dos casos, los hackers utilizaron comandos para apagar las bombas de agua.

En total, el 58% de los ataques originados, provenían de Rusia, pero no todos ellos eran críticos.

Los ataques clasificados como no críticos, no han afectado severamente a las bombas de agua, pero podrían desembocar en ataques críticos en el futuro, afirma el investigador de Trend Micro.

Cinco de los ataques críticos fueron originados en China, uno en Alemania, otro en Reino Unido, otro en Francia, Palestina y otro en Japón.

Los ataques críticos fueron dirigidos contra víctimas específicas y los atacantes que estaban detrás de ellos intentaron, manualmente, identificar vulnerabilidades en los componentes de la simulación de las bombas de agua.

Al mismo tiempo, los individuos que estaban detrás de los ataques no críticos, primero llevaron a cabo escaneo de puertos y después utilizaron escáneres automáticos de vulnerabilidades para utilizar esas debilidades en los sistemas ICS e intentar abrir brechas de seguridad.

El objetivo de algunos de los ataques críticos era, probablemente el espionaje, ya que los atacantes estuvieron monitorizando los datos que procedían del sistema.

Durante los pasados años, los investigadores de seguridad han identificado un elevado número de vulnerabilidades en varios componentes de los sistemas de control industrial. Sin embargo, afortunadamente, la complejidad de estos sistemas, ha hecho que no sea sencillo explotar dichas vulnerabilidades. Ha sido en este último año cuando el interés de los hackers por esos sistemas se ha despertado y se ha empezado a hacer más esfuerzos y dedicar tiempo y dinero en diseñar ataques contra ellos.

La afirmación principal que puede resumir estas investigaciones es que los ataques contra los sistemas de control industriales conectados a Internet son reales y están cobrando mucho interés entre los cibercriminales. Muchos de estos ataques son dirigidos a víctimas específicas. Muchos ingenieros de estos sistemas ICS no son conscientes de que esto está ocurriendo, y eso es grave.

El investigador de Trend Micro espera que las herramientas que ha creado ayude a los propietarios de ICS a construir y desplegar sus propias redes cepo para ver quién está intentando atacar sus sistemas; así como enseñarles a llevar a cabo acciones para proteger sus sistemas de forma eficiente.

El mundo de ICS necesita disponer de más información acerca de seguridad, según Wilhoit. Investigadores y profesionales de IT están compartiendo información valiosa en otros campos de seguridad IT. Esto debe aplicarse también al área de ICS, especialmente en zonas en las que haya infraestructura considerada como crítica.

Para más información, accede aquí

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*