Captain's log: Promoting process rigor, inside.
Explosión en gaseoducto siberiano (1982)
Este es el primer incidente con seguridad cibernética registrado en la historia de la infraestructura crítica. Un atacante plantó un troyano en un sistema SCADA que controlaba el gaseoducto siberiano. Como consecuencia de esta intrusión, se produjo una explosión equivalente a 3 kilotones de TNT. Un cuarto (1/4) del poder explosivo de Little Boy, la bomba de Hiroshima.
Ducto de gasolina de Bellingham (1999)
El ducto de gasolina de Bellingham (WA, USA) fue exacerbado por un sistema de control que no era capaz de ejecutar las funciones de control y monitoreo. Una de las causas clave del accidente fue provocado por los trabajos de los desarrolladores en la base de datos del sistema SCADA mientras que el sistema era usado para operar el gaseoducto. El daño liberó una fuga de gases tóxica que provocó la muerte de 1 jóven, tras caer inconsciente en el río mientras se hallaba pescando; y la pérdida posterior de otros 2 niños que jugaban en su colegio cerca al río, por quemaduras de segundo y de tercer grado, que no pudieron soportar, esto a causa de la posterior explosión del ducto, que además liberó 277,000 galones ó 8000 barriles de gasolina al río y una humareda que se alzaba 10 km, visible aún desde Vancouver (Canadá).
Dragón Nocturno
En el 2011, cinco firmas globales de energía y petróleo fueron golpeadas por una combinación de ataques que incluían ingeniería social, troyanos y exploits basados en Windows. El ataques fue llamado “Dragón Nocturno” (Night Dragon) y desde entonces estuvo activo por dos años. Existen conjeturas que provino de la China. Los segmentos de red “corporativo” de las cinco compañías que operan infraestructura SCADA fueron atacados, pero ningún sistema SCADA fue atacado directamente.
Stuxnet vs. el programa de enriquecimiento de Uranio de Irán
Stuxnet es considerado el primer malware que atacó la infraestructura crítica de gobiernos extranjeros. Esta fue la idea usada en el ataque en la planta nuclear en Natanz, para interferir con su programa nuclear Iraní. Stuxnet es uno de los programas maliciosos más caros y más complejos de la historia. Se asumió que la creación del código Stuxnet tomó varios años. Stuxnet es un malware altamente sofisticado que tiene características de un gusano informático (que se autoreplica, sin ayuda humana), de virus (que depende del apoyo humano), y de troyano (que permite acceso externo a funcionalidades del sistema agredido), y era extremadamente difícil de detectar porque usaba vulnerabilidades del día cero (zero-day). Hay aún evidencia que Stuxnet se mantiene en evolución desde su primera aparición, desde que los atacantes actualizaron las infecciones con cifrado y exploits, aparentemente adaptándose a condiciones que ellos hallaron en el camino a su objetivo. La meta final de Stuxnet es el SABOTAJE de las instalaciones al reprogramar los controladores para operar, principalmente desde remoto, y sobre todo “sin que el operador del PLC se percatase”. Incluso, las víctimas tuvieron que examinar modificaciones de sus propios controladores digitales para asegurarse que ningún vestigio malicioso de Stuxnet se ocultara allí, ya que se supo luego que Stuxnet tuvo el poder de instalar rootkits en los sofisticados equipos PLC, incluso con drivers (controladores de software) con certificados digitales legítimos. Stuxnet fue un malware con propósito exclusivo, diseñado para propagarse así mismo tanto como le fuese posible, y para atacar automáticamente una vez que tomara contacto con el objetivo (es decir, sin requerir comando remoto). Fue creado para infectar exclusivamente la configuración SCADA de los dispositivos conectados a un Siemes S7-300. Se presume que un ingeniero introdujo Stuxnet dentro del perímetro pretegido de la red SCADA (es decir, detrás del firewall) vía una memoria USB. Sin bien la idea era lograr la propagación vía la red LAN, la propagación a PCs no conectadas a ninguna red sería vía memorias USB removibles que compartiesen los ingenieros de Natanz. Esto demostró que estar protegido o incluso aislado de Internet o cualquier otra red no era una defensa total. El malware que golpeó las centrífugas de partículas del programa de enriquecimiento de Uranio en la planta de Natanz de Irán contenía un conjunto de códigos. Según el reporte de Symantec, el malware abordó los sistemas de control de los convertidores de frecuencia que contralaba el SCACA de Siemens. Luego de monitorear la frecuencia del motor, el malware sólo atacaba sistemas que giraban entre los 807Hz y 1,210Hz, y de allí procedía a cambiar la velocidad del motor de centrífuga al acelerarlos esporádicamente a 1,410Hz, y luego des-acelerarlos a 2Hz. Cómo es lógico de entender, tales cambios bruscos imponían a la maquinaria a un estrés severo, provocando como consecuencia una alta tasa de colapsos. Así, Natanz reportó que la capacidad de trabajo de estas centrífugas cayeron hasta 30%, año a año, a causa del efecto de Stuxnet.
Mercado de comercio de energía sin acceso a una troncal
Un empleado fue suspendido por su empleador, por una disputa con otro empleado. El empleado había sido sub-contratado por su empleador como un consultor de TI para una instalación de gestión de energía. Debido a que fue suspendido al final del viernes por la tarde, su empleador decidió esperar hasta el lunes por la mañana para notificar a la instalación de gestión de energía. Al final del domingo por la noche, el empleado volvió a las instalaciones a las cuales tenía acceso, ya que su suspensión no había sido notificada. El empleado usó un martillo y rompió la cubierta de vidrio que cuidaba el “botón de apagado de emergencia” y presionó el botón, con lo que provocó el apagado de los sistemas informáticos, que incluían las computadoras que regulaban el intercambio de electricidad entre las redes de energía. Por un periodo de dos horas, el apagado impidió el acceso del organismo al mercado de comercio de energía. Por fortuna, no afectó la transmisión de la red de manera directa.
Red energía eléctrica de los Estados Unidos penetrada (2009)
Espías chinos y rusos penetraron la red de energía eléctrica de los Estados Unidos, dejando software potencialmente dañino. Se pensó que el principal propósito fue construir un mapa de la infraestructura crítica de los EE.UU., al usar herramientas de mapeo de red. El gobierno norteamericano no reveló detalles técnicos, pero el gobierno del Reino Unido pidió abiertamente en los medios a China y Rusia no espiar en su infraestructura crítica.
Exposición al agua tratada en Tehama-Colusa Canal Authority (2007)
Un ex-supervisor eléctrico instaló software no autorizado en los sistemas SCADA en el planta de tratamiento de agua Tehama-Colusa Canal Authority en California, US. El empleado disgustado habrían instalado dicho software justo el mismo día que fue despedido, luego de haber trabajado por 17 años para la misma compañía. No hubieron publicaciones técnicas acerca de los daños reales de sus actos. Sin embargo, fue llevado a prisión por 10 años con una multa de $250,000.
Espionaje masivo con Duqu (2011)
Fue descubierto en el 2011. DuQu es un serie de malwares que sirven como herramienta de ciber-espionaje, que permite a quien lo administra aprender más de la red de infraestructura crítica que aborda, y la reporta a su comando central. DuQu busca por información que pueda ser útil para atacar los sistemas de control industrial.
Fuente:
Civil and Environmental Engineering: Concepts, Methodologies, Tools, and Applications 1st Edition / The CERT Guide to Insider Threats
JACKSECURITY