Los ciberdelincuentes están, de forma activa, atacando a sistemas de control industrial (ICS), con el propósito de comprometer sus operaciones, de acuerdo a los datos recogidos a través de una red “cepo” (honeypot).
La honeypot, que simulaba una bomba de agua, fue diseñada para atraer a los atacantes y fue creada por Kyle Wilhoit, miembro del equipo de investigación de amenazas de Trend Micro. Wilhoit compartió algunos de los hallazgos encontrados relacionados con ataques a la seguridad basándose en sistemas originales desplegados en Estados Unidos durante la conferencia Black Hat celebrada recientemente en Las Vegas. Asimismo, también ha puesto en conocimiento las herramientas utilizadas por los hackers para que los dueños de estos sistemas industriales lo tuvieran en cuenta.
La red cepo del investigador de Trend Micro ha evolucionado y se han introducido cambios significativos en su arquitectura. Así, Wilhoit ha virtualizado y desplegado su sistema en otros países, incluyendo Brasil, Rusia, China, Irlanda, Singapur, Japón y Australia.
Esta nueva arquitectura utiliza una herramienta llamada Browser Exploitation Framework (BeFF) para inyectar código JavaScript en los navegadores de los atacantes si ellos entran en el sistema y en áreas de seguridad.
La inyección no es maliciosa por naturaleza, pero permite que el operador de la honeypot obtenga información acerca del ordenador del atacante, lo que, significativamente mejora la posibilidad de confirmar que los ataques proceden de dicho equipo. El código Javascript puede hacer triangulación WI-FI para determinar la localización del atacante y está listo para recopilar información acerca de su ordenador, red local, incluyendo el sistema operativo que tiene, el nombre de ordenador y hasta su dirección IP.
Trend Micro ha identificado 74 ataques contra sistemas de control industriales gracias a redes cepo, 10 de los cuales pueden ser considerados críticos y podrían haber comprometido la integridad de bombas de agua. En una ocasión, un atacante intentó cambiar la temperatura del agua para ponerla a 130 grados Fahrenheit y, en otros dos casos, los hackers utilizaron comandos para apagar las bombas de agua.
Espionaje como principal objetivo
En total, el 58% de los ataques originados provenían de Rusia, pero no todos ellos eran críticos. Los ataques clasificados como no críticos, no han afectado severamente a las bombas de agua, pero podrían desembocar en ataques serios en el futuro, afirma el investigador de Trend Micro.
Cinco de los ataques críticos fueron originados en China, uno en Alemania, otro en Reino Unido, otro en Francia, Palestina y otro en Japón. Estos ataques fueron dirigidos contra víctimas específicas y los atacantes que estaban detrás de ellos intentaron, manualmente, identificar vulnerabilidades en los componentes de la simulación de las bombas de agua. El objetivo de algunos de los ataques críticos era, probablemente el espionaje, ya que los atacantes estuvieron monitorizando los datos que procedían del sistema.
Al mismo tiempo, los individuos que estaban detrás de los ataques no críticos, primero llevaron a cabo escaneo de puertos y después utilizaron escáneres automáticos de vulnerabilidades para utilizar esas debilidades en los sistemas ICS e intentar abrir brechas de seguridad.
Durante los pasados años, los investigadores de seguridad han identificado un elevado número de vulnerabilidades en varios componentes de los sistemas de control industrial. Sin embargo, afortunadamente, la complejidad de estos sistemas, ha hecho que no sea sencillo explotar dichas vulnerabilidades. Ha sido en este último año cuando el interés de los hackers por esos sistemas se ha despertado y se están haciendo más esfuerzos y dedicando más tiempo y dinero en diseñar ataques contra ellos.
La afirmación principal que puede resumir estas investigaciones es que los ataques contra los sistemas de control industriales conectados a Internet son reales y están cobrando mucho interés entre los cibercriminales. Muchos de estos ataques son dirigidos a víctimas específicas. Muchos ingenieros de estos sistemas ICS no son conscientes de que esto está ocurriendo, y eso es grave.
El investigador de Trend Micro espera que las herramientas que ha creado ayude a los propietarios de ICS a construir y desplegar sus propias redes cepo para que puedan detectar quién está intentando atacar sus sistemas; así como enseñarles a llevar a cabo acciones para protegerlos de forma eficiente.