Panorama global de amenazas afectando a infraestructura crítica mundial

Actualmente estamos viviendo un escenario condicionado por la crisis generada en Europa del Este entre Rusia y Ucrania, el cual ha llevado al mundo entero a poner los ojos sobre este territorio donde cabe destacar que hasta el momento no se han evidenciado desescaladas del conflicto.

Durante las últimas semanas se han realizado constantes ataques a la infraestructura crítica de dicho país, así mismo los investigadores de #mandiant apuntan a que esta situación de ciberamenazas puede propagarse por el mundo. En efecto ya hemos visto como algunas campañas de estos grupos/amenazas ya se encuentran presentes a nivel nacional.

• Organización: PetroVietnam
  • País: Vietnam
  • Ransomware: Snatch
  • Fecha: 09-02-2022
• Organización: Petrolimex
  • País: Vietnam
  • Ransomware: BlackByte
  • Fecha: 05-02-2022
• Organización: Edgo
  • País: Jordania
  • Ransomware: Cuba
  • Fecha: 04-02-2022
•  Organización: KCA Deutag
  • País: Reino Unido
  • Ransomware: RansomEXX
  • Fecha: 28-01-2022
• Organización: AL-SOOR FUEL MARKETING COMPANY K.S.C.P
  • País: Kuwait
  • Ransomware: Snatch
  • Fecha: 30-12-2021
•  Organización: Solaris Management Consultants
  • País: Canadá
  • Ransomware: BlackCat (ALPHV)
  • Fecha: 29-12-2021
•  Organización: Divestco Geoscience Inc
  • País: Canadá
  • Ransomware: AvosLocker
  • Fecha: 25-12-2021
• Organización: Kangean Energy Indonesia
  • País: Indonesia
  • Ransomware: BlackByte
  • Fecha: 19-12-2021

• A1 HRVATSKA  en croacia sufre leak con información de 200.000 clientes
• Vodafone Ucrania sufre una pérdida masiva de conectividad en servicio de telefonía e internet móvil
• Vodafone Portugal sufre un ataque (aparente DDoS) que interrumpió sus servicios 4G y 5G en todo el territorio.
• Thailand Telecom Company en Tailandia sufre ataque por ransomware LeakTheAnalyst

• Privatbank y Oschadbank, los principales bancos estatales de Ucrania sufren DDoS interrumpiendo sus servicios
• Royal Bank of Canada, BMO, Scotiabank y Canadian Imperial Bank of Commerce, los principales bancos de Canadá sufren interrupción de sus servicios, inclusive limitando el retiro de dinero desde ATM
• Investigadores de Mandiant advierten sobre posibles ciberataques globales por parte de Rusia a industrias bancarias.
• Nueva Zelanda lanza comunicado advirtiendo a banca local de posibles efectos colaterales del conflicto Rusia Ucrania

Si bien estas amenazas están asociadas a los incidentes anteriormente descritos, es importante entender que las industrias hispanoparlantes también podrían verse afectadas por la explotación de vulnerabilidades que puedan tener relación con la utilización de sistemas comunes, es por ello que hacemos un llamado a las industrias de petróleo, telecomunicaciones y bancarias para que se mantengan en estado de alerta DEFCON-2.
 

Del panorama de amenazas presentes en industria petrolera se identifican los siguientes ransomware:

• Snatch
• BlackByte
• Cuba
• RansomExx
• Entropy
• BlackCat(ALPHV)
• AvosLocker

Del listado previo se destaca la presencia de Ransomware Snatch afectando a Colombia sumado a Ransomware LV en Brasil y Ransomware Lockbit2.0 y Hive con presencia en Chile registrando dos ataques durante el último mes, disparando la tendencia que se mantenía hasta el momento, donde afectaciones a Chile resultaban casos aislados.

APRECIACIÓN

De acuerdo a las repercusiones visualizadas por las tensiones geopolíticas y dependiendo de su desarrollo, se puede prever una propagación en los ataques destinado más allá del conflicto local, pudiendo inclusive afectar aliados o simpatizantes de Ucrania. 

Por otra parte debemos entender el potencial y capacidades de cada región, en donde para el caso de Rusia desde largo tiempo ha mantenido activas este tipo de operaciones, siendo incluso una potencia en este ámbito

En base a lo anterior es posible estimar que más pronto que tarde se marque presencia de actores Rusos en Latam y que entendiendo el tipo de ataques que han realizado, es altamente probable que se afecte la infraestructura crítica tal como industria petrolífera, bancaria, eléctrica, plantas de agua potable o incluso redes gubernamentales.

Contexto histórico

Durante las últimas décadas hemos visto los impactos disruptivos que genera este tipo de ataques en las sociedades, casos memorables como el de Estonia (2007), Irán (2010), Ucrania (2015/2016), Arabia Saudita (2017), Chile (2018/2020), EE.UU. (2021), no deben pasar desapercibidos.

Estonia (2007):

Durante la Segunda Guerra Mundial los soviéticos entraron a Estonia para erradicar a los Nazis, sin embargo, esta ocupación perduró hasta 1991, periodo en el cual se erigió un monumento a los soldados soviéticos caídos en el centro de la ciudad, que para los estonios, representaba nada más que la ocupación soviética de esos años.

En abril de 2007, los gobernadores de Estonia decidieron trasladar dicha estatua hacia un cementerio de soldados de la Guerra, lo cual para los rusos significó un insulto a sus héroes. Debido a que en el país aún quedaban miles de rusos que se encontraban arraigados en el país, hubo una revuelta civil que se levantó protestando contra esta decisión. No obstante la estatua fue trasladada en la madrugada del 27 de abril de 2007. Esa misma mañana, las páginas web del gobierno comenzaron a fallar y el acceso a la banca online se bloqueó. Estonia estaba siendo víctima de un ataque de DDoS, haciendo que todos sus servicios estuviesen colapsados de peticiones sin poder operar. Los ciberataques proliferaron durante las siguientes dos semanas incomunicando al país del resto del mundo, con serias deficiencias en los servicios públicos, marcando un precedente en la historia de la ciberseguridad debido a que no sabían de dónde provenían los ataques ni como responder ante ellos. Pero aunque lo supieran, el problema estaba en ¿qué se podría haber hecho para evitarlo?, ¿cuáles eran las reglas de enfrentamiento de este nuevo tipo de conflicto asimétrico? Esta fue la primera vez que se utilizó internet como arma para perturbar el funcionamiento de una nación, sentando bases para que múltiples naciones planificaran sus defensas en este nuevo escenario de conflictos asimétricos.

Irán (2010): Stuxnet

En enero de 2010, inspectores de la Agencia Internacional de Energía Atómica notaron con desconcierto que las centrifugadoras de la planta nuclear en Natanz, en Irán, usadas para enriquecer uranio estaban fallando ante lo cual no encontraban explicación. El fenómeno se repitió cinco meses después en el país, pero esta vez los expertos pudieron detectar la causa: un malware creado específicamente para estos fines, con un código 20 veces más complejo que cualquier otro conocido. 

El malware - ahora conocido como Stuxnet - tomó el control de al menos 1.000 máquinas que participaban en la producción de materiales nucleares y les dio instrucciones de autodestruirse. Fue la primera vez que un ataque cibernético logró dañar la infraestructura del "mundo real", Stuxnet fue la primera arma creada completamente de código de programación.

Nueve meses posteriores a su detección, esta “arma” que puede quebrar redes eléctricas, destruir oleoductos y muchos otros daños en infraestructura crítica estuvo disponible en mercados negros para que cualquiera pudiera descargala y desamblarla, con videos que explicaban paso a paso cómo se creó esta innovadora herramienta a base de código.

Ucrania (2015 / 2016): BlackEnergy / Industroyer

Durante diciembre de 2015 y nuevamente en diciembre de 2016, se vivieron horas complejas en Ucrania debido a ciberataques dirigidos - conocidos como BlackEnergy e Industroyer, respectivamente - los que afectaron a las redes eléctricas de este país. 

Estos apagones fueron los primeros en el mundo que se documentaron como producidos por el uso de un código malicioso.

Arabia Saudita (2017): Triton

El malware conocido como Triton se usó para sabotear una planta petroquímica ubicada en Arabia Saudita. Fue diseñado para afectar a los controladores del Sistema de Instrumentos de Seguridad Triconex de Schneider Electric, con el objetivo de dañar la instalación o hacer que explotara. Afortunadamente los expertos de ciberseguridad lograron responder a tiempo ante este incidente.  

Chile (2018 / 2020): Lazarus Group / Sodinokibi ransomware

El memorable caso que afectó al Banco de Chile en el año 2018, donde el grupo de actores de amenaza norcoreanos lograron extraer US$10 millones de dólares en transacciones autorizadas. Este incidente fue uno más de la campaña de estos sofisticados ciberactores, quienes entre 2014 y 2021 han afectado a instituciones financieras en al menos 13 países. Se cree que los ingresos se destinan al desarrollo de tecnología nuclear y de misiles de Corea del Norte. 

Por otra parte, en 2020 el ransomware REvil (a.k.a. Sodinokibi) afectó a Banco Estado, institución que mantuvo la mayoría de sus sucursales cerradas por al menos 4 días, causando indisponibilidad en sus sistemas y atención a clientes. Posterior a estos incidentes, la Comisión de Economía acordó solicitar al Ejecutivo poner suma urgencia al mensaje en segundo trámite que establece normas sobre delitos informáticos, que deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de Budapest.

EE.UU. (2021): Ransomware DarkSide

En mayo de 2021 Colonial Pipeline, una empresa que proporciona aproximadamente el 45% de los suministros de combustible de la costa este de Estados Unidos, se vio obligada a cerrar sus operaciones durante casi una semana tras el cifrado de sus sistemas debido al RaaS Darkside. La compañía habría efectuado el pago de casi US$4,4 millones en criptomonedas, lo inédito: el FBI logró recuperar US$2,3 millones de ese pago. 

¿Cómo avanzamos en materias de resguardo de infraestructuras críticas en Chile?

De acuerdo con lo estipulado en la Política Nacional de Ciberseguridad (PNCS) promulgada en 2017, se identifica y jerarquiza las infraestructuras críticas de la información (ICI) señalando: 

“Los sectores que componen la clasificación de ICI son muy similares y se repiten en varias clasificaciones a nivel internacional. En el caso chileno, mientras se adopta una política específica para infraestructuras críticas, la infraestructura de la información de los siguientes sectores será considerada como crítica: energía, telecomunicaciones, agua, salud, servicios financieros, seguridad pública, transporte, administración pública, protección civil y defensa, entre otras.”

La PNCS, se basa en una visión que apunta al año 2022, para conseguir el objetivo de contar con un ciberespacio libre, abierto, seguro y resiliente. Los avances en la materia a nivel nacional pueden observarse en el último estudio de la International Telecommunication Union (ITU), donde Chile se ubica en la posición 74 del ranking internacional en ciberseguridad y la posición 7 del continente Americano. 

Gracias a estas iniciativas se han creado nuevos roles en organismos públicos que tienen la responsabilidad de regular, auditar, fiscalizar y sancionar cuando corresponda a ciertos sectores privados, trabajo que ha sido coordinado por la División de Redes y Seguridad Informática del Ministerio del Interior, que dentro de sus áreas y funciones tiene al CSIRT de Gobierno, que por un lado se encarga de la seguridad del Estado y por otro lado se hace cargo de estos roles en el sector privado.

Sistemas de control industrial (ICS)

Los Sistemas de Control Industrial son utilizados en múltiples servicios esenciales y vitales para el funcionamiento de la sociedad. Las organizaciones industriales dependen mayoritariamente de las tecnologías operativas (OT). 

La tecnología operativa, es el uso de hardware y software para monitorear y controlar los procesos físicos, los dispositivos y la infraestructura. Los sistemas de tecnología operativa se encuentran en una amplia gama de sectores con alta utilización de activos, realizando una gran variedad de tareas que van desde el monitoreo de infraestructura crítica hasta el control de máquinas en una planta de fabricación.

La denominada “Industria 4.0”, requiere sistemas de tecnología de la información (IT) para identificar problemas o aumentar la eficiencia de los sistemas de tecnología operativa. Sin embargo, la conexión a Internet de una red de OT a través de una red IT, expone inmediatamente la red y todos sus dispositivos, a todo el panorama de amenazas. 

El riesgo se incrementa debido a que las redes OT generalmente no están protegidas, ya que fueron diseñadas originalmente con el supuesto de que no estarían expuestas. En líneas generales es tecnología antigua y heredada. Otro punto de riesgo radica en el aumento del acceso remoto a las redes de OT por parte de proveedores externos, lo que amplía aún más la superficie de ataque y crea nuevas brechas de seguridad.

El proceso de convergencia IT-OT debe contar con diferentes enfoques de ciberseguridad, entendiendo que el entorno IT tiene su orientación hacia la protección de la información, y en el caso del entorno OT se prioriza la continuidad operacional y la protección de los activos físicos.
 

Algunos controles de seguridad básicos: