Seguritecnia 498

Servicios esenciales ca en 2017 por Eset a raíz de los ataques realizados por Rusia en las infraestructu- ras ucranianas en las navidades de 2015 y 2016. El ataque original perseguía des- truir las subestaciones de la infraestructu- ra eléctrica aprovechando una vulnerabi- lidad de protecciones. Pero originalmente no se le dio gran importancia porque se infravaloraba la capacidad de los ata- cantes para acceder a estos sistemas mediante los protocolos de comunicacio- nes específicos del entorno eléctrico. Sin embargo, al ser analizado, se vio que se había diseñado para propagarse median- te más de tres protocolos específicos. Industroyer 2 va un paso más allá. Busca la persistencia en las estaciones de operación e ingeniería de los centros de control de las empresas operadoras, al igual de Triton, pero con una especifi- cidad adicional: se había diseñado para atacar SCADA funcionando sobre siste- mas operativos Solaris, poco comunes en general pero muy específicos de al- gunas herramientas. Ataques En febrero se supo que varias terminales portuarias de aprovisionamiento de hi- drocarburos de Alemania, Bélgica y Ho- landa se vieron afectadas por un ataque de ransomware . En concreto, las empre- sas Both Oiltanking Deutschland y Ma- banaft Deutschland llegaron a declarar fuerza mayor por no poder cumplir sus compromisos de abastecimiento debido al impacto del ataque en sus infraes- tructuras. Incluso empresas como Shell tuvieron que modificar sus rutas para poder descargar sus barcos cisterna en otras terminales. Análogamente, y solo basándonos en información pública, la CISA estadouni- dense ha difundido varios avisos para incrementar el nivel de alerta de los sis- temas eléctricos del país en vista del au- mento de actividad. El más sonado fue al poco de iniciarse la invasión de Ucrania por Rusia. La alerta (AA22-083A) descri- bía técnicas, tácticas y procedimientos identificados en ataques para que las empresas de energía pudieran alimentar sus sistemas de detección y de monitori- zación para ayudar a incrementar la efi- cacia de sus centros de operaciones de seguridad. Parte de la información hacía referencia a los ataques mencionados anteriormente. Además, en febrero se avisó de un incremento de ataques de ransomware por medio de pendrives USB y en sep- tiembre se emitió un aviso de que una vulnerabilidad de Windows (CVE-2010- 2568) explotada por Stuxnet volvía a situarse entre las más explotadas. Pensemos que esta última es propia de equipos Windows XP y Windows 7, así como de Windows Server 2003 y 2008. Dentro de las sospechas de ataques y relacionado con las vulnerabilidades no mitigadas, debemos señalar el ac- cidente de junio en Estados Unidos. En concreto, la planta de Freeport sufrió una explosión en una de sus líneas de licuefacción de gas, y que suponía el 20 por ciento de toda la capacidad de producción de gas natural licuado del país y que se estaba destinando a Europa. Todavía se investiga si pudo haber alguna relación con causas de ciberseguridad. De hecho, la empresa SecurityScorecard reveló tras el acci- dente que la planta presentaba varias vulnerabilidades explotables desde el exterior, sugiriendo la posibilidad de haber podido lanzarse un ataque como el de Triton, pero sin confirmar si efecti- vamente habían sido explotadas. ¿Qué se está haciendo? Obviamente, las empresas energéticas no son ajenas a todas estas situacio- nes. Afrontan grandes retos tanto para mitigar vulnerabilidades de equipos ob- soletos, pero que no pueden ser reem- plazados fácilmente ni en plazos cortos, como para poder mejorar los mecanis- mos de coordinación de respuesta ante incidentes o de las amenazas implícitas en las cadenas de suministro que con- forman ecosistemas tan complejos. En relación con la cadena de suminis- tro, hay también una gran preocupación porque es un problema que necesita abordarse en varias dimensiones. Ya / Noviembre-Diciembre 2022 37