Robert Lipovsky, experto en ciberseguridad de ESET, expuso en Ekoparty 2022 sobre la ciberguerra. Habló con Clarín.
La guerra entre Rusia y Ucrania signó una nueva era en la seguridad informática: más ciberataques, mejor dirigidos y con una particular preferencia por derribar infraestructura crítica. Centrales eléctricas, transporte público, sistemas de salud y hasta plantas nucleares pasaron a ser el foco de un campo de batalla híbrido.
Entre el repertorio de ataques se encuentran los conocidos DDoS, (saturación de redes para privar el acceso a usuarios legítimos), el ransomware, donde se encriptan datos para pedir un rescate en criptomonedas a cambio, y una tendencia que está creciendo: los wipers, programas que borran información para hacer daño.
El último informe de Microsoft sobre defensa digital notó que estos incidentes se incrementaron de un 20% en 2021 a un 40% este año. Y dentro de estos ataques, hay una categoría específica en la ciberguerra que es una de las que más preocupa a los expertos: los grupos conocidos como APT (“Advanced Persistent Threat”).
Las “ciberamenazas persistentes avanzadas” son tipos de ataques más bien silenciosos, donde los intrusos se instalan en equipos ajenos y pueden extraer información durante meses o incluso años, sin ser detectados. Y son uno de los ataques más típicamente patrocinados por Estados.
Robert Lipovsky, principal investigador de inteligencia de amenazas de ESET, estudió a fondo los ciberataques desde Rusia a Ucrania, su impacto, y de qué manera las fuerzas ucranianas lograron detenerlos.
En su paso por Buenos Aires, en el marco de Ekoparty 2022, una de las convenciones de hackers y seguridad informática más grandes de América Latina, Lipovsky contó todo sobre “Industroyer2”: una pieza de código malicioso diseñada para atacar infraestructura crítica, que ya había sido usada en 2016, pero que volvió recargada en abril de este año tras la invasión a Ucrania.
El experto se encuentra en una posición privilegiada para analizar la ciberguerra: ESET, que tiene su sede central en Eslovaquia, es el antivirus más vendido en Ucrania. Lo que significa una mina de oro a la hora de recopilar y analizar información para entender las amenazas. Habló con Clarín.
─¿Cómo cambió el panorama de los ciberataques en Ucrania y Rusia tras la guerra?
─Hubo un aumento y un cambio haciaciberataques más agresivos desde febrero. Sin embargo, hay que aclarar algo: la ciberguerra en la zona Ucrania-Rusia viene ocurriendo desde hace tiempo. Durante los últimos ocho años, más o menos, y esto también coincide con la situación geopolítica que ocurre desde entonces, como cuando Rusia ocupó Crimea en 2014 o la guerra en Donbass, en el este de Ucrania.
─¿Hay más ataques patrocinados por Estados?
─Sí, si bien existían en la zona desde antes, empezamos a ver un aumento de ataques del Estado ruso contra varios objetivos ucranianos. Y entre los blancos había tanto organizaciones gubernamentales del sector público como empresas privadas, medios de transporte, es decir, infraestructuras críticas. Los más notables fueron los ataques contra la red eléctrica ucraniana, observamos tres intentos en los que los hackers rusos trataron de interrumpir el flujo de la electricidad, con éxito parcial (no lograron bajar la totalidad de lo que querían derribar).
─Ahí entra “Industroyer2”, este virus que apunta a derribar plantas industriales. ¿Qué se sabe de él?
─Yo diría que el hecho más interesante fue el descubrimiento del malware [programa malicioso] en sí. Fue en diciembre de 2016, y durante unos cinco años, nadie supo nada de él. Desde entonces, toda la industria se preguntaba cuándo podría aparecer, y finalmente lo hizo este abril.
─¿Para qué fue creado?
─Fue ideado para desenergizar las centrales eléctricas, pero también había otras piezas de malware que se desplegaron en esa campaña y que eran wipers, programas diseñados para borrar información (Caddy wiper). Había para sistemas Windows y también había otros wipers para Linux y Solaris, para básicamente para cubrir sus huellas y hacer que la restauración sea más difícil.
─¿Y cuánto afectó Industroyer2 a Ucrania? ¿Qué intentó hacer?
─Intentó dar de baja la red eléctrica del país. La buena noticia es que los ucranianos tienen mucha experiencia en la lucha contra estos ciberataques rusos, y también hemos cooperado con ellos muy estrechamente. Por eso el último ataque no tuvo éxito, se evitó y no hubo ningún corte de energía.
─¿Es muy distinto de la primera versión?
─Eso fue interesante porque tiene modificaciones del primer Industroyer, pero también similitudes. Es evidente que se hizo a partir de la misma base de código, por lo que es definitivamente una nueva versión de lo mismo, básicamente con un montón de diferencias arquitectónicas.
─Hablando de wipers que borran información, ¿se usan más desde la guerra?
─Sí. A ver, hay diferentes categorías de amenazas. Aunque, a primera vista, puedan parecer similares, los wipers son los ataques preferidos de estos grupos patrocinados por Estados nacionales que hemos estado viendo. A veces se hacen pasar por ransomware y muestran un mensaje de rescate, corrompen el sistema y, a veces, incluso encriptan los archivos, pero en realidad muestran la nota de rescate sólo como un señuelo. En realidad apuntan a destruir todo.
El ransomware: menos ataques, golpes más grandes
─El ransomware ganó protagonismo estos años. ¿Qué detectaron en este tipo de ataques?
─Los grupos de ransomware se han profesionalizado mucho a lo largo de los años, persiguen objetivos muy grandes, empresas y Estados que tienen dinero, Hacen su reconocimiento previo, miran sus ingresos y calculan realmente qué cantidades de plata pueden pedir. No es como hace 10 años, cuando el ransomware atacaban a usuarios normales y les pedía 300 dólares.
─¿Y en cuanto a los mecanismos de infección?
─Una tendencia que hemos observado en nuestra telemetría es que hubo un enorme aumento de los intentos de fuerza bruta de RDP (Remote Desktop Protocol, es decir, poder acceder a otro equipo de manera remota).
─¿Y esto a qué se debió?
─En gran parte fue alimentado por el cambio al trabajo remoto que introdujo la pandemia, donde muchos empleados estaban accediendo a los recursos de sus empresas desde casa, con accesos VPN (redes privadas) mal configurados y cosas por el estilo. Los atacantes se aprovechaban de ello e intentaban utilizar este vector para entrar, y también era uno de los principales métodos para instalar ransomware en las redes de las empresas.
─¿Hay más o menos ataques de ransomware?
─Este año hemos visto una reducción en los ataques, similar a lo que detectó Fortinet. Ha habido una disminución de estos ataques de fuerza bruta de ransomware, pero a pesar de que ha habido una reducción significativa, sigue siendo un vector importante que estamos viendo y uno de los principales métodos que el ransomware está entrando en los sistemas informáticos.
─Los sistemas que usan las industrias suelen ser viejos y desactualizados. ¿Es un vector de entrada para el ransomware?
─Por un lado, sí, todos estos sistemas antiguos típicos de los entornos ICS (Industrial Control Systems) son un potencial vector de infección. Estos sistemas son muy difíciles -o imposibles- de hacerles parches de seguridad, porque ya no se actualizan. Lo hemos visto con los ataques a la red eléctrica con malware industrial, que usaban protocolos de comunicación industrial para enviar órdenes a los disyuntores para desenergizar las centrales eléctricas. Allí no estaban usando ningún exploit en absoluto. Simplemente utilizaban los protocolos en la forma en que fueron diseñados para ser utilizados.
─O sea, no tienen usuario, contraseña, ni controles de seguridad.
─Exacto, fueron diseñados hace décadas, sin la seguridad en mente. Sin autenticación, nada de eso. Así que definitivamente es como una debilidad de todo el sistema. No es sólo una debilidad de una utilidad en particular, pero es un sistema ampliamente vulnerable. Por otro lado, a veces hacer las cosas a la vieja usanza y tener mecanismos manuales es también una ventaja, como en Ucrania.
─¿En qué sentido?
─Hemos visto que durante algunos de estos ciberataques los operadores de las subestaciones eléctricas fueron capaces de restaurar la energía más rápidamente pasando al modo manual, que es una capacidad que muchas redes eléctricas occidentales no tienen, así que sí, es una debilidad, pero también puede tener algunas ventajas como esta: lo analógico a veces permite una protección más eficiente.
Ekoparty se desarrollo el 2, 3 y 4 de noviembre en Buenos Aires. Durante 3 días, expertos en seguridad informática, hacking y asistentes con diversos intereses asisten a charlas y talleres. Fue en el Centro de Convenciones Buenos Aires y tuvo cerca de 10 mil asistentes.
Fuente: elclarin.cl