BOSTON (AP) – Hackers militares rusos intentaron dejar sin electricidad a millones de ucranianos la semana pasada en un ataque largamente planeado, pero fueron frustrados, dijeron el martes funcionarios del gobierno ucraniano.
En una de las centrales eléctricas de alto voltaje atacadas, los piratas informáticos lograron penetrar e interrumpir parte del sistema de control industrial, pero las personas que defendían la central pudieron evitar los cortes de electricidad, dijeron los ucranianos.
“La amenaza era grave, pero se evitó a tiempo”, dijo a los periodistas, a través de un intérprete, un alto funcionario ucraniano de ciberseguridad, Victor Zhora. “Parece que tuvimos mucha suerte”.
Los hackers de la agencia de inteligencia militar rusa GRU utilizaron una versión mejorada del malware que se vio por primera vez en su exitoso ataque de 2016 que causó apagones en Kiev, dijeron los funcionarios, que fue personalizado para atacar múltiples subestaciones. Al mismo tiempo, sembraron un malware diseñado para borrar los sistemas operativos de los ordenadores, lo que dificulta la recuperación.
Las autoridades no especificaron cuántas subestaciones eran el objetivo ni su ubicación, alegando motivos de seguridad, pero un viceministro de Energía, Farid Safarov, dijo que “2 millones de personas se habrían quedado sin suministro eléctrico si hubiera tenido éxito.”
Zhora, vicepresidente del Servicio Estatal de Comunicaciones Especiales, dijo que el malware fue programado para dejar sin electricidad el viernes por la noche, justo cuando la gente volvía a casa del trabajo y encendía los informativos.
Dijo que las redes de la red eléctrica fueron penetradas antes de finales de febrero, cuando Rusia invadió el país, y que los atacantes subieron después el malware, apodado Industroyer2. El malware consiguió interrumpir un componente de los sistemas de gestión de la central eléctrica afectada, también conocidos como sistemas SCADA.
Zhora no quiso ofrecer más detalles ni explicar cómo se derrotó el ataque o qué socios pudieron ayudar directamente a derrotarlo. Sí reconoció la gran ayuda internacional que ha recibido Ucrania para identificar las intrusiones, y los retos que supone tratar de librar de atacantes las redes gubernamentales, de energía y de telecomunicaciones. Entre los ayudantes se encuentran los guerreros del teclado del Mando Cibernético de Estados Unidos.
Se preguntó a Cybercom si había colaborado en la respuesta de emergencia, pero no respondió inmediatamente.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania agradeció a Microsoft y a la empresa de ciberseguridad ESET su ayuda para hacer frente al ataque a la red eléctrica en un boletín publicado en Internet. Las autoridades dijeron que los ataques destructivos se habían planeado al menos desde el 23 de marzo.
Los hackers del GRU de un grupo que los investigadores llaman Sandworm atacaron con éxito la red eléctrica de Ucrania en dos ocasiones: en los inviernos de 2015 y 2016. Los fiscales estadounidenses acusaron a seis funcionarios del GRU en 2020 por utilizar una versión anterior del malware Industroyer para atacar la red eléctrica de Ucrania al obtener el control de los interruptores y disyuntores de las subestaciones eléctricas.
En el ataque de 2016, los hackers de Sandworm utilizaron Industroyer para encender y apagar los disyuntores en una secuencia diseñada para crear un apagón, dijo Jean-Ian Boutin, director de investigación de amenazas de ESET.
“Sabemos que Industroyer todavía tiene la capacidad de apagar los interruptores”, dijo.
Trabajando en estrecha colaboración con los responsables ucranianos, ESET también determinó que los atacantes habían infectado las redes de las plantas seleccionadas con software de borrado de discos.
La activación exitosa del malware habría inutilizado los sistemas de la planta, dificultando seriamente la reparación y recuperación, y destruyendo las huellas digitales de los atacantes, dijo Boutin.
Una de las variedades de malware destructivo utilizadas en el ataque, apodada CaddyWiper, fue descubierta por primera vez por ESET a mediados de marzo, siendo utilizada contra un banco ucraniano, dijo.
Los fiscales occidentales culpan a Sandworm de una serie de ciberataques de gran repercusión, incluido el más destructivo, el virus limpiador NotPetya de 2017, que causó más de 10.000 millones de dólares de daños en todo el mundo al destruir los datos de redes enteras de ordenadores de empresas que hacen negocios en Ucrania, incluidas las del transportista Maersk y la farmacéutica Merck.
El uso de ciberataques por parte de Rusia contra la infraestructura ucraniana durante su invasión ha sido limitado en comparación con las expectativas de los expertos antes de la guerra. Sin embargo, en las primeras horas de la guerra, un ataque que Ucrania atribuye a Rusia dejó fuera de servicio un importante enlace de comunicaciones por satélite que también afectó a decenas de miles de europeos desde Francia hasta Polonia.
En otro grave ciberataque de la guerra, los piratas informáticos dejaron sin servicio de Internet y de telefonía móvil a una importante empresa de telecomunicaciones que presta servicios al ejército, Ukretelecom, durante la mayor parte del día del 28 de marzo.
Zhora afirmó que “se ha sobrestimado el potencial de los hackers rusos [respaldados por el Estado]” y citó una serie de razones por las que cree que los ciberataques no han desempeñado un papel importante en el conflicto:
– Cuando el agresor está bombardeando objetivos civiles con bombas y cohetes, no hay necesidad de esconderse detrás de una actividad cibernética encubierta.
– Ucrania ha reforzado considerablemente sus ciberdefensas con la ayuda de voluntarios de países afines.
– Ataques tan sofisticados como este esfuerzo por dejar sin electricidad son complejos y suelen requerir mucho tiempo.
“No es algo fácil de hacer”, dijo Zhora.
Ucrania ha estado sometida a constantes ciberataques rusos durante los últimos ocho años, y Zhora señaló que los ataques se han triplicado desde la invasión en comparación con el mismo periodo del año pasado.
Rusia ha dicho que su invasión era necesaria para proteger a los civiles del este de Ucrania, una afirmación falsa que Estados Unidos había previsto que Rusia haría como pretexto para la invasión. Ucrania ha calificado el asalto de Rusia de “guerra de agresión” y ha dicho que “se defenderá y ganará”.