Red Seguridad 098

red seguridad tercer trimestre 2022 43 opinión La segunda amenaza, denominada Industroyer 2, no es realmente nueva. Se trata de la evolución de Industroyer, públi- ca en 2017 por Eset a raíz de los ataques realizados por Rusia en las infraestructu- ras ucranianas en las navidades de 2015 y 2016. El ataque original perseguía des- truir las subestaciones de la infraestructu- ra eléctrica aprovechando una vulnerabi- lidad de protecciones. Pero originalmente no se le dio gran importancia porque se infravaloraba la capacidad de los ata- cantes para acceder a estos sistemas mediante los protocolos de comunicacio- nes específicos del entorno eléctrico. Sin embargo, al ser analizado, se vio que se había diseñado para propagarse median- te más de tres protocolos específicos. Industroyer 2 va un paso más allá. Busca la persistencia en las estaciones de operación e ingeniería de los centros de control de las empresas operadoras, al igual de Triton, pero con una especifi- cidad adicional: se había diseñado para atacar SCADA funcionando sobre siste- mas operativos Solaris, poco comunes en general pero muy específicos de al- gunas herramientas. Ataques En febrero se supo que varias terminales portuarias de aprovisionamiento de hi- drocarburos de Alemania, Bélgica y Ho- landa se vieron afectadas por un ataque de ransomware . En concreto, las empre- sas Both Oiltanking Deutschland y Ma- banaft Deutschland llegaron a declarar fuerza mayor por no poder cumplir sus compromisos de abastecimiento debido al impacto del ataque en sus infraes- tructuras. Incluso empresas como Shell tuvieron que modificar sus rutas para poder descargar sus barcos cisterna en otras terminales. Análogamente, y solo basándonos en información pública, la CISA estadouni- dense ha difundido varios avisos para incrementar el nivel de alerta de los sis- temas eléctricos del país en vista del au- mento de actividad. El más sonado fue al poco de iniciarse la invasión de Ucrania por Rusia. La alerta (AA22-083A) descri- bía técnicas, tácticas y procedimientos identificados en ataques para que las empresas de energía pudieran alimentar sus sistemas de detección y de monitori- zación para ayudar a incrementar la efi- cacia de sus centros de operaciones de seguridad. Parte de la información hacía referencia a los ataques mencionados anteriormente. Además, en febrero se avisó de un incremento de ataques de ransomware por medio de pendrives USB y en sep- tiembre se emitió un aviso de que una vulnerabilidad de Windows (CVE-2010- 2568) explotada por Stuxnet volvía a situarse entre las más explotadas. Pen- semos que esta última es propia de equi- pos Windows XP y Windows 7, así como de Windows Server 2003 y 2008. Dentro de las sospechas de ataques y relacionado con las vulnerabilidades no mitigadas, debemos señalar el accidente de junio en Estados Unidos. En concreto, la planta de Freeport sufrió una explosión en una de sus líneas de licuefacción de gas, y que suponía el 20 por ciento de toda la capacidad de producción de gas natural licuado del país y que se estaba destinando a Europa. Todavía se inves- tiga si pudo haber alguna relación con causas de ciberseguridad. De hecho, la empresa SecurityScorecard reveló tras el accidente que la planta presentaba varias vulnerabilidades explotables desde el ex- terior, sugiriendo la posibilidad de haber podido lanzarse un ataque como el de Triton, pero sin confirmar si efectivamente habían sido explotadas. ¿Qué se está haciendo? Obviamente, las empresas energéticas no son ajenas a todas estas situaciones. Afrontan grandes retos tanto para mitigar vulnerabilidades de equipos obsoletos, pero que no pueden ser reemplazados fácilmente ni en plazos cortos, como para poder mejorar los mecanismos de coordinación de respuesta ante inciden- tes o de las amenazas implícitas en las cadenas de suministro que conforman ecosistemas tan complejos. En relación con la cadena de suminis- tro, hay también una gran preocupación porque es un problema que necesita abordarse en varias dimensiones. Ya desde el inicio de la pandemia se ha evidenciado cuán débil es nuestro sis-