Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica Autor:
Industroyer es un malware capaz de controlar sistemas de energía eléctrica de una nación y podría ser dirigido a otro tipo de infraestructura crítica.
Nuevas amenazas
ESET alertó sobre la existencia de Industroyer, un nuevo malware capaz de controlar los interruptores de los sistemas de energía eléctrica directamente. Para hacerlo, utiliza protocolos de comunicación industrial implementados mundialmente en infraestructuras de suministro de energía eléctrica, sistemas de control de transporte y también en sistemas de agua y gas.
“Este malware es altamente personalizable. Si bien es universal, ya que puede ser usado para atacar cualquier sistema de control industrial usando algunos de los protocolos de comunicación de la lista de objetivos, algunos de los componentes de las muestras analizadas estaban diseñados para apuntar a un tipo particular de hardware”, aseguró Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Estos conmutadores son equivalentes digitales a los conmutadores analógicos; que técnicamente pueden ser diseñados para realizar varias funciones. Por lo tanto, el impacto potencial puede ir desde simplemente desactivar la distribución de energía hasta fallas en cascada y daños al equipo. La gravedad del mismo también puede variar de una subestación a otra.
“El problema es que los protocolos se crearon hace décadas, y en ese entonces la intención era que los sistemas industriales estuvieran aislados del mundo exterior. Como consecuencia, su comunicación no fue diseñada con la seguridad en mente. Esto significa que los atacantes no necesitaban buscar vulnerabilidades en los protocolos; todo lo que necesitaban era enseñarle al malware a ‘hablar’ esos protocolos” mencionó el ejecutivo.
Industroyer es un malware modular. Su componente central es un backdoor usado por los atacantes para gestionar el ataque; instala y controla los otros componentes y se conecta a un servidor remoto para recibir comandos y reportar a los criminales.
“Gracias a la habilidad de persistir en el sistema y proveer información valiosa para refinar los payloads personalizables, los atacantes podrían adaptar el malware a cualquier entorno, lo que lo vuelve extremadamente peligroso”, concluyó Camilo Gutiérrez Amaya.