por 
Imágenes Getty | La fotografía varía
Ha pasado más de media década desde que el infame hacker ruso conocido como Sandworm apuntó a una estación de transmisión eléctrica al norte de Kiev una semana antes de Navidad en 2016, utilizando un código único y automatizado para interactuar directamente con los interruptores de la estación y apagar las luces. una fracción de la capital ucraniana. Ese espécimen sin precedentes de malware de sistemas de control industrial nunca se ha vuelto a ver, hasta ahora: en medio de la brutal invasión de Ucrania por parte de Rusia, Sandworm parece estar sacando sus viejos trucos.
El martes, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y la firma de ciberseguridad eslovaca ESET emitieron advertencias de que el grupo de piratas informáticos Sandworm, confirmado como la unidad 74455 de la agencia de inteligencia militar rusa GRU, se había apoderado de subestaciones eléctricas de alto voltaje en Ucrania. utilizando una variación de un malware conocido como Industroyer o Crash Override. El nuevo malware, denominado Industroyer2, puede interactuar directamente con los equipos de las empresas eléctricas para enviar comandos a los dispositivos de la subestación que controlan el flujo de energía, como en el ejemplo anterior. Informa que el equipo de ciberataques más agresivo de Rusia intentó un tercer apagón en Ucrania, años después de sus históricos ciberataques en la red eléctrica ucraniana en 2015 y 2016, siendo los únicos apagones confirmados que se sabe que fueron causados por piratas informáticos.
ESET y CERT-UA dicen que el malware se implantó en los sistemas de destino dentro de una compañía de energía regional de Ucrania el viernes. CERT-UA dice que el ataque se detectó con éxito en curso y se detuvo antes de que se pudiera desencadenar un apagón real. Pero un aviso privado anterior de CERT-UA la semana pasada, informado por primera vez por MIT Technology Review el martes, indicó que la energía se había interrumpido temporalmente en nueve subestaciones eléctricas.
Tanto CERT-UA como ESET se negaron a nombrar la utilidad afectada. Pero más de 2 millones de personas viven en el área a la que sirve, según Farid Safarov, viceministro de energía de Ucrania.
“El intento de piratería no afectó el suministro de electricidad a la compañía eléctrica. Fue detectado y mitigado rápidamente”, dice Viktor Zhora, un alto funcionario de la agencia de ciberseguridad de Ucrania, conocida como Servicios Estatales para la Protección Especial de la Comunicación y la Información (SSSCIP). “Pero la interrupción esperada fue enorme”. Cuando se le preguntó sobre el informe anterior que parecía describir un ataque que tuvo al menos un éxito parcial, Zhora lo describió como un “informe preliminar” y siguió sus declaraciones públicas más recientes y las de CERT-UA.
Según CERT-UA, los piratas informáticos irrumpieron en la empresa eléctrica objetivo en febrero, o posiblemente antes, exactamente como aún no está claro, pero solo intentaron implementar la nueva versión de Industroyer el viernes. Los piratas informáticos también han implementado múltiples formas de malware “limpiador” diseñado para destruir datos en las computadoras dentro de la utilidad, incluido el software de limpieza que apunta a los sistemas basados en Linux y Solaris, así como los limpiadores de Windows más comunes y también una pieza de código conocida como CaddyWiper que había sido encontrado dentro de bancos ucranianos en las últimas semanas. CERT-UA afirmó el martes que también pudo detectar este malware de limpieza antes de que pudiera usarse. “Fuimos muy afortunados de poder responder a este ataque cibernético de manera oportuna”, dijo Zhora a los periodistas en una conferencia de prensa el martes.
