Home Infraestructuras críticas Red eléctrica de Estados Unidos, en el radar de peligroso grupo de...

Red eléctrica de Estados Unidos, en el radar de peligroso grupo de ciberdelincuentes

Durante los últimos meses, los analistas de seguridad del Centro de Análisis e Intercambio de Información Eléctrica (E-ISAC) y la firma de seguridad de infraestructura crítica Dragos han estado rastreando a un grupo de sofisticados delincuentes que llevan a cabo amplios escaneos de docenas de objetivos de la red eléctrica de los Estados Unidos, aparentemente en busca de puntos de entrada a sus redes.

El escaneo, por sí solo, no representa una amenaza seria. Pero este grupo, conocido como Xenotime -o a veces como el actor de Tritón, por su malware característico- tiene una historia particularmente oscura. El malware Triton fue diseñado para desactivar los llamados sistemas de instrumentos de seguridad de la refinería de petróleo saudí Petro Rabigh en un ciberataque en 2017, con el aparente objetivo de paralizar los equipos que monitorean fugas, explosiones u otros eventos físicos catastróficos. Dragos ha llamado a Xenotime “fácilmente la actividad de amenaza más peligrosa conocida públicamente”.

“No hay señales de que los piratas informáticos estén cerca de provocar un apagón, por no hablar de un peligroso accidente físico, en los Estados Unidos. Pero el mero hecho de que un grupo tan notoriamente agresivo haya puesto sus miras en la red de EE.UU. merece atención”, dice Joe Slowik, un investigador de seguridad de Dragos que se centra en los sistemas de control industrial y que ha seguido la pista de Xenotime.

Según Dragos, Xenotime ha sondeado las redes de al menos 20 objetivos diferentes del sistema eléctrico de los Estados Unidos, incluyendo todos los elementos de la red, desde las plantas de generación de energía hasta las estaciones de transmisión y las estaciones de distribución. Su análisis abarcó desde la búsqueda de portales de inicio de sesión remotos hasta la búsqueda de características vulnerables en las redes, como la versión con errores del bloque de mensajes del servidor explotada en la herramienta de hacking Eternal Blue que se filtró de la NSA en 2017. “Es una combinación de llamar a la puerta y probar un par de pomos de vez en cuando”, reveló Slowik.

Aunque Dragos no se enteró del nuevo objetivo hasta principios de 2019, la actividad se remonta a mediados de 2018, en gran medida mirando los registros de red de los objetivos. Dragos también vio a los ciberdelincuentes explorar de forma similar las redes de un “puñado” de operadores de redes eléctricas en la región de Asia y el Pacífico. A principios de 2018, Dragos había informado que veía a Xenotime enfocarse en cerca de media docena de objetivos de petróleo y gas en Norteamérica. Esa actividad consistió en gran medida en el mismo tipo de sondeos que se han observado más recientemente, pero en algunos casos también incluyó intentos de descifrar la autenticación de esas redes.

Más allá de la amenaza a la red de EE.UU., el vicepresidente de inteligencia de amenazas de Dragos, Sergio Caltagirone, argumenta que la ampliación de los objetivos de Xenotime muestra cómo los grupos de hackers patrocinados por el estado, están volviéndose más ambiciosos en sus ataques. Estos grupos han crecido no sólo en número sino también en el alcance de sus actividades, explicó. “Xenotime ha pasado del petróleo y el gas, de operar puramente en Oriente Medio a Norteamérica a principios de 2018, a la red eléctrica de Norteamérica a mediados de 2018. Estamos viendo la proliferación a través de sectores y geografías. Y esa proliferación de amenazas es lo más peligroso en el ciberespacio”.