ciberataques a equipos industriales

All posts tagged ciberataques a equipos industriales

Planta-industrial.jpg

Hackers detrás de ‘Trisis’ atacan otra instalación de infraestructura crítica

Los hackers detrás del notorio malware conocido como Trisis, código que se dirige a sistemas de seguridad cruciales en instalaciones industriales peligrosas, están de vuelta.

Investigadores de la firma de ciberseguridad FireEye que rastrearon a los piratas informáticos detrás de Trisis (también conocida como Tritón), que se enfocaron en una planta petroquímica saudí en 2017, encontraron que el mismo grupo ha infectado una segunda instalación no especificada de «infraestructura crítica«. El grupo estaba vinculado previamente al gobierno ruso.

FireEye no dijo quién era el nuevo objetivo. Esta es una práctica a veces común en los hackeos que son revelados por las empresas contratadas para responder a ellos; a las empresas de seguridad a menudo no se les permite revelar información sobre sus clientes. Infraestructura crítica es un término que se usa ampliamente en el mundo de la seguridad, pero a menudo se refiere a centrales eléctricas, instalaciones de tratamiento de agua, redes eléctricas y otras instalaciones de alto perfil que brindan importantes servicios sociales.

Poco más de un mes después de que Venezuela experimentara el peor y más costoso apagón eléctrico en su historia reciente, y que el presidente Madura atribuyera como un ataque electromagnético imperialista a los EEUU para desestabilizar a la región, sólo podemos especular que si efectivamente se trató de un ciberataque, Venezuela podría haber sido víctima del mismo (o una variante de) Trisis.

Apagón en Venezuela en Marzo, 2019 deja paralizado a gran parte del país por casi siete días.

La próxima generación en ciberataques

Desde su aparición en 2017, se describió a Trisis como «la próxima generación en ciberataques» que, por su propia existencia, intensificaría la carrera armamentista de hackeo global.

No hay muchos detalles disponibles sobre el segundo ataque, aparte de que se descubrió que el grupo estaba implementando malware creado especialmente para redes de TI tradicionales para robar credenciales y ejecutar comandos en máquinas remotas. Eso es a diferencia del ataque original de Trisis, que se dirigió directamente a los sistemas de control industrial. El nuevo descubrimiento apunta a la actividad continua de uno de los grupos de piratería más infames del mundo.

Los atacantes detrás de Trisis también tienen más trabajo en su currículum, incluyendo ciberataques a firmas industriales en EEUU.

El nuevo ataque reportado fue capturado en las primeras etapas de un intento de desarrollar la capacidad de causar daño físico en las instalaciones seleccionadas. Los defensores encontraron nuevos conjuntos de herramientas personalizadas, diseñadas para obtener acceso a los sistemas de sus objetivos.

Los investigadores también investigaron a profundidad al ataque de agosto de 2017 contra las instalaciones sauditas, revelando que los piratas informáticos pasaron más de un año trabajando metódicamente para obtener acceso sin alertar a los defensores. La cantidad de tiempo invertido y enfoque deliberado, según los investigadores, sugiere un enfoque en el trabajo silencioso que probablemente significa que están presentes en otras instalaciones específicas y aún no se han detectado.

El ataque de Trisis de 2017 podría haber destruido la instalación petroquímica saudita si el software no hubiera contenido un error. En lugar de causar un daño importante, el ataque solo provocó un cierre y puso en alerta al mundo de la ciberseguridad.

Historia de Malware ICS

La crisis pertenece a una clase de malware extremadamente rara y poderosa que se dirige a los sistemas industriales de control (ICS por sus siglas en Inglés).

  • En 2010, Stuxnet fue una de las ciberamenazas ICS más sofisticadas descubiertas. Esta arma cibernética fue creada para apuntar a centrífugas iraníes. Fue capaz de reprogramar un controlador lógico programable (PLC) particular para cambiar la velocidad de las rotaciones de la centrífuga. El objetivo de Stuxnet no era destruir, sino tomar el control del proceso industrial.
  • En 2013, el malware Havex se dirigió a las redes de energía, empresas de electricidad y muchos otros. Los atacantes recolectaron una gran cantidad de datos y monitorearon sistemas industriales de forma remota. Havex fue creado para espionaje y sabotaje.
  • BlackEnergy se descubrió en 2015. Se enfocó en infraestructura crítica y destruyó archivos almacenados en estaciones de trabajo y servidores. En Ucrania, 230.000 personas quedaron en la oscuridad durante seis horas después de que los piratas informáticos comprometieron varios centros de distribución de energía.
  • En 2015, IronGate fue descubierto en fuentes públicas. Se enfocó en los sistemas de control de Siemens y tenía funcionalidades similares a las de Stuxnet. No está claro si esto fue una prueba de concepto o una herramienta de prueba de penetración simple.
  • Industroyer (también llamado Crashoverride) volvió a golpear a Ucrania en 2016. El malware incorporó un componente de limpieza de datos y un módulo de denegación de servicios distribuidos. Fue diseñado para la destrucción. El ataque provocó un segundo cierre de la red eléctrica de Ucrania.
  • En 2017, Tritón/Trisis fue descubierto. El ataque no tuvo éxito; las consecuencias podrían haber sido desastrosas.

«Estos ataques a menudo también son llevados a cabo por actores estado que pueden estar interesados ​​en prepararse para operaciones de contingencia en lugar de realizar un ataque inmediato«, señala el informe de FireEye. “Durante este tiempo, el atacante debe garantizar el acceso continuo al entorno objetivo o correr el riesgo de perder años de esfuerzo y la propiedad de malware tipo ICS potencialmente costoso. Este ataque no fue la excepción«.

El informe de FireEye contiene una lista de archivos, hashes, tácticas, técnicas y procedimientos (TTP) para ayudar a defenderse ante el grupo de hackers aún activo.

«No solo se pueden usar estos TTP para encontrar evidencia de intrusiones, sino que la identificación de la actividad que tiene fuertes superposiciones con las técnicas favoritas del actor puede llevar a evaluaciones más sólidas de la asociación de actores, lo que refuerza aún más los esfuerzos de respuesta a incidentes«, señala el informe.

leer más
Isaul CarballarHackers detrás de ‘Trisis’ atacan otra instalación de infraestructura crítica
e01ca03676d0f5ae172354a58b44bf54_XL.jpg

Los controles remotos de radiofrecuencia exponen tu fábrica a un ciberataque

¿Sabías que las industrias de fabricación y construcción utilizan controles remotos de radiofrecuencia (RF) para operar grúas, equipos de perforación y otras máquinas pesadas? Pues bien, aunque te parezca increíble así es y según la multinacional en ciberseguridad Trend Micro son muchos los equipos industriales vulnerables a ser hackeados. En el siguiente post te diremos cómo los controles remotos de radiofrecuencia exponen tu fábrica a un ciberataque.

Los controles remotos de radiofrecuencia exponen tu fábrica a un ciberataque

Por qué los controles remotos de radiofrecuencia exponen tu fábrica o infraestuctura a un ciberataque. Pues bien, Trend Micro afirma que el tipo de ataques a los que se exponen las fábricas y empresas de construcción incluyen la capacidad de inyectar comandos malintencionados y personalizados que causan estragos en el equipo controlado a distancia. Como un campo relativamente oscuro, desde el punto de vista del mundo de TI, los equipos industriales controlados a distancia parecen ser sorprendentemente inseguros en su diseño.

ontroles remotos de radiofrecuencia exponen tu fábrica a un ciberataque

«Uno de los proveedores con los que contactamos mencionó específicamente las consultas múltiples de sus clientes, que quería eliminar la necesidad de presionar físicamente los botones en el control remoto de mano, reemplazándolo con una computadora, conectada al mismo control remoto que emitirá comandos como parte de un proceso de automatización más complejo, es decir, sin seres humanos en el circuito”.


Dijo Trend Micro.

De esta manera los controles remotos de radiofrecuencia exponen tu fábrica a un ciberataque. Incluso los mecanismos de emparejamiento entre los controladores de radiofrecuencia (RF) y su planta asociada solo están presentes «para evitar interferencias a nivel de protocolo y permitir que múltiples dispositivos operen simultáneamente de forma segura», dijo Trend. La preocupación más grande es que incluso por diseño, algunas de estas piezas de equipo industrial permiten que un operador emita comandos simultáneos a varias piezas de equipo.

Además de los ataques de repetición básicos, donde los comandos emitidos por un operador legítimo son registrados por un atacante y retransmitidos para tomar el control de una planta objetivo, los vectores de ataque también incluyen la inyección de comandos, «e-stop abuse» donde los hackers pueden provocar una denegación. Es decir, una condición de servicio mediante la transmisión continúa de comandos de parada de emergencia e incluso la reprogramación maliciosa.

Durante las pruebas detalladas de un par de controladores receptores, los investigadores de Trend Micro encontraron que los comandos falsos de “paro de emergencia” ocultaron los comandos legítimos del operador al dispositivo de destino.

El equipo de un proveedor usó valores de comprobación idénticos en todos sus paquetes de RF, lo que hace que sea mucho más fácil para los hackers aplicar ingeniería inversa a esos protocolos en particular. Otro dispositivo de destino ni siquiera implementó un mecanismo de código rodante, lo que significa que el dispositivo de recepción no autenticó el código recibido de ninguna manera antes de ejecutarlo, como por ejemplo, cómo un niño travieso con un transmisor de señal infrarroja podría apagar la televisión del vecino a través de la ventana de la habitación.

Trend Micro también encontró que entre los dispositivos reprogramables por el usuario que ninguno de ellos había implementado ningún mecanismo de protección para evitar la reprogramación desatendida

Si bien esto último puede parecer aterrador, las fábricas y los sitios de construcción gozan de una medida de seguridad física; Aunque desde luego están lejos de ser perfectos, pero al menos disuaden a un pirata informático de subir una grúa en un sitio para emparejar su computadora portátil o el controlador hecho en casa, o intentar volver a instalarlo con un firmware malicioso. Sin embargo, esto no es un sustituto para la seguridad adecuada del dispositivo.

La firma de Infosec recomendó a los integradores de sistemas que estuvieran en alerta máxima por posibles vulnerabilidades en el kit especificado por el cliente. La firma de investigación Infosec dijo que las empresas deberían abandonar los «protocolos de RF propietarios» en favor de los estándares abiertos, destacando que Bluetooth Low Energy tiene un poco más de seguridad que algunos de los estándares de ingeniería inversa.

leer más
Diarleth G.Los controles remotos de radiofrecuencia exponen tu fábrica a un ciberataque

Nueva variante de virus Stuxnet ataca a Irán mientras Israel permanece callado

Un malware similar en naturaleza a Stuxnet, pero más agresivo y sofisticado supuestamente afectó la infraestructura y las redes estratégicas en Irán

Virus StuxnetUn virus informático malicioso similar a Stuxnet, pero «más violento, más avanzado y más sofisticado» ha provocado agitación en la infraestructura interna de Irán, dijo el miércoles un informe de la televisión israelí.

El informe de televisión se emitió después de que se reveló públicamente que la agencia de inteligencia Mossad había frustrado un complot de asesinato iraní en Dinamarca. 48 horas antes de eso, Irán reconoció que el teléfono móvil del presidente Hassan Rouhani había sido interceptado.

También sigue una serie de golpes de inteligencia israelíes contra Irán, incluida la extracción de Teherán en enero por el Mossad, del contenido de un vasto archivo que documenta el programa de armas nucleares de Irán y los detalles del Primer Ministro Benjamin Netanyahu en la ONU en septiembre de otros presuntos activos nucleares y de misiles iraníes dentro de Irán, en Siria y en el Líbano.

Calificándolo como uno de los «mayores logros» de la inteligencia israelí, el primer ministro israelí, Benjamain Netanyahu, dijo que los documentos, cuadros, videos y planos «incriminatorios» fueron compartidos con los Estados Unidos, y que «pueden responder por su autenticidad».

Los funcionarios israelíes están mudos ante cualquier posibilidad de que hayan contribuido a la infiltración cibernética.

Los detalles sobre el supuesto nuevo ataque son superficiales en este momento, ya que no hay detalles sobre el supuesto ataque, el daño que causó o sus objetivos.

«¿Recuerdan a Stuxnet, el virus que penetró en las computadoras de la industria nuclear iraní?», Se preguntó en el informe sobre las noticias israelíes Hadashot. Irán «ha admitido en los últimos días que nuevamente enfrenta un ataque similar, de un virus más violento, más avanzado y más sofisticado que antes, que ha afectado a la infraestructura y las redes estratégicas».

Al referirse a la última versión de un nuevo virus informático, The Times of Israel dice que el informe de la televisión del miércoles señaló que «en el pasado, Estados Unidos e Israel habían trabajado juntos en operaciones». Tratando de establecer si Israel tenía algún rol en el último ataque cibernético, el informe de la televisión decía: «Hemos intentado aclararlo. Se niegan a comentar «.

¿Por qué es tan peligroso Stuxnet?

Stuxnet es un virus informático malicioso que se inició por primera vez hace ocho años y se cree que fue la creación de las agencias de inteligencia en los EEUU e Israel.

Stuxnet es un conjunto de herramientas avanzadas específicamente diseñadas para afectar a equipos de sistemas de control industriales de la marca Siemens. Más específicamente, Stuxnet puede reprogramar los PLC (por sus siglas en inglés Controlador Lógico Programable) para centrífugas de enriquecimiento de uranio en varias instalaciones en Irán.

Construido para propósitos de sabotaje, el malware fue sigiloso en sus acciones y diseñado para parecer como si el daño que causó a las centrífugas fuera de hecho el resultado de un mal funcionamiento accidental del equipo. Llegando a pasar desapercibido por meses.

El virus informático Stuxnex destruyó miles de centrifugadoras involucradas en el controvertido programa nuclear de Irán en las centrales eléctricas de Natanz y Bushehr al infectar las centrifugadoras y obligarlas a operar a velocidades superiores, lo que fue perjudicial para el proceso de enriquecimiento.

Irán se movió para aumentar sus capacidades cibernéticas en 2011 luego de que el virus informático Stuxnet destruyó miles de centrifugadoras involucradas en su programa nuclear en disputa. Se cree que Stuxnet es una creación estadounidense e israelí.

La guerra cibernética se sigue gestando

Eyal Wachsman, director ejecutivo de la compañía de seguridad cibernética israelí Cymulate, dijo a The Media Line que «Irán ha atacado físicamente a objetivos civiles y militares de todo el mundo con bombas y armas, y en los últimos años, ha llevado la lucha al ciberespacio.

«Se cree que los Estados Unidos e Israel, maestros de la guerra cibernética, han estado detrás de contraataques contra Irán en el pasado, incluido el virus Stuxnet en 2010», dijo Wachsman. Ese virus saboteaba los esfuerzos de enriquecimiento nuclear de Irán al acelerar y dañar sus centrifugadoras.

“En 2012, el virus Flame se implementó en las redes informáticas de Irán que recopilan información, y Duqu 2.0 se utilizó en 2015 durante las conversaciones nucleares. Probablemente hubo ataques adicionales que han recibido poca o ninguna atención «, continuó Wachsman.

Después de que las sanciones de los Estados Unidos contra Irán lleguen a plena vigencia el 5 de noviembre, «Irán podría sentirse acorralado y, por lo tanto, podría desencadenar un ataque cibernético muy grave, lo que obligará a los Estados Unidos e Israel a tomar represalias al mismo nivel o posiblemente a un nivel superior».

Los servicios de inteligencia israelíes ayudarán a Estados Unidos a restablecer las sanciones contra Irán, dijo el lunes el ministro de Seguridad Pública, Gilad Erdan, mientras Teherán, la Unión Europea y China rechazan las acciones económicas.

«Israel debe continuar actuando para que Irán sienta toda la fuerza de las sanciones estadounidenses, y para que los países europeos cambien su posición hipócrita, apoyen el acuerdo nuclear equivocado y se unan al régimen de sanciones», dijo Erdan.

Referencias:

https://www.timesofisrael.com/tv-report-israel-silent-as-iran-hit-by-computer-virus-more-violent-than-stuxnet/

http://www.themedialine.org/news/iran-admits-to-being-hit-by-potent-cyber-attack/

https://www.bleepingcomputer.com/news/security/new-stuxnet-variant-allegedly-struck-iran/

https://apnews.com/75f84b91a7c94fdd94e57707a5d77ccc

leer más
Isaul CarballarNueva variante de virus Stuxnet ataca a Irán mientras Israel permanece callado

Anuncian supuesto hackeo de vuelo de Malasya Airlines desaparecido en 2014

Explosivo giro en el misterio del vuelo MH370: pasajero ‘curioso’ con habilidades para hackear sistema de comunicaciones de un avión estaba a bordo del mismo

Avión de Malaysia Airlines

  • La policía francesa investiga si los datos de navegación del MH370 fueron hackeados antes del accidente
  • El pasajero con habilidades para hackear la unidad de comunicaciones estaba sentado directamente debajo de ella
  • Si los datos fueron cambiados o eliminados, los esfuerzos de recuperación podrían estar buscando en el lugar equivocado

Dando un giro al misterio que por casi 5 años ha rodeado el misterioso vuelo MH370 de Malasya Airlines, desaparecido el 8 de marzo de 2014 con 239 pasajeros a bordo. Los últimos informes denuncian la posibilidad de un grupo de hackers dentro de la misma aeronave como posibles autores del siniestro.

El francés Ghyslain Wattrelos, quien perdió a su esposa e hijos en el accidente del vuelo MX370, es quien reportó el último hallazgo. El no ha dejado de lado el caso y ha recibido el reporte a partir de las investigaciones de la Agencia de Transporte Aéreo (GTA por sis siglas en francés Gendarmerie des Transports Aériens).

La GTA ha detectado inconsistencias en el reporte final del gobierno Malayo. Por lo que ha llevado la investigación a nuevas áreas.

Dos de estas áreas son la empresa aeronáutica Boeing y la agencia federal de investigaciónes (FBI) ambas en los EEUU.

El camino no ha sido fácil ya que Boeing no ha cooperado tanto como podría argumentando clausulas de confidencialidad y secretos industriales.

Los investigadores aún desean hablar con una tercera entidad, quién evitaron nombrar, para obtener mayor información que podría ayudar a resolver el misterio.

Los hallazgos hasta el momento apuntan a que los datos proporcionados por la empresa satelital Inmarsat, encargados del trazado de rutas aéreas, son erróneos o apócrifos.

En caso de ser ciertos dichos reportes, se pondría en duda toda la investigación, incluyendo la evidencia encontrada hasta el momento.

Lo anterior no sólo cambia totalmente el resultado del reporte oficial, sino que además pondría en evidencia una posible implantación de evidencia perpetuada para cerrar el caso.

Un peculiar grupo de hackers

El pasajero francés además ha reportado el perfil de tres pasajeros que podrían estar involucrados. Entre ellos se encuentra un Malayo, un Iraní, un Norteaméricano y dos Ucranianos.

Se ha reportado que días antes del vuelo, el pasajero Iraní pidió a sus amigos por Facebook que rezaran por él. EL perfil de los Ucranianos y Norteamericano está catalogado como atípico.

La lista de sospechosos del hackeo de la aeronave la encabeza un pasajero Malayo, quién era un experto en aeronáutica y estaba sentado justo detrás del sistema de monitoreo satelital Inmarsat.

Aunque el grupo de franceses hablan de la posibilidad de un hackeo del vuelo, con modificación de registros de vuelo, no mencionan nada sobre los posibles motivos del siniestro.

Referencia: https://www.dailymail.co.uk/news/article-6310461/Was-MH370s-flight-data-hacked-disguise-route.html

leer más
Isaul CarballarAnuncian supuesto hackeo de vuelo de Malasya Airlines desaparecido en 2014