 |
Puede que los hacktivistas no sepan mucho sobre sistemas de control industrial (ICS), pero son muy conscientes de las implicaciones potenciales de que estos dispositivos se vean comprometidos. Por ello, algunos grupos han atacado estos sistemas -que suelen estar desprotegidos y son fáciles de piratear- para llamar la atención sobre su causa. |
La empresa de ciberseguridad industrial Otorio informó a principios de septiembre de que un grupo hacktivista pro palestino llamado GhostSec había afirmado que había "hackeado" 55 controladores lógicos programables (PLC) de Berghof situados en Israel. Los piratas informáticos publicaron un vídeo en el que mostraban que habían accedido al panel de administración del PLC y a una interfaz hombre-máquina asociada (HMI). También publicaron una captura de pantalla en la que se veía que un PLC se había detenido, lo que, para alguien que no sepa mucho sobre el funcionamiento de los procesos industriales, podría indicar que se habían causado importantes perturbaciones.
Aproximadamente una semana más tarde, Otorio vio cómo los mismos hacktivistas se atribuían otro ataque al ICS israelí, esta vez afirmando poder controlar parámetros relacionados con la seguridad del agua.
En el caso del incidente relacionado con los PLC de Berghof, los investigadores de la empresa de seguridad demostraron que es fácil identificar los PLC expuestos a Internet utilizando el motor de búsqueda Shodan y descubrieron que es probable que se pueda acceder a muchos de ellos utilizando credenciales predeterminadas o comunes. Los investigadores determinaron que, aunque el panel de administración del PLC comprometido proporciona un control total sobre algunas funcionalidades, no permite al usuario controlar directamente el proceso industrial.
"Es posible afectar al proceso hasta cierto punto, pero la configuración del proceso en sí no está disponible únicamente desde el panel de administración", explicó Otorio.
La empresa también ha analizado la segunda ronda de reclamaciones de GhostSec y ha descubierto que el ICS relacionado con el agua estaba en realidad asociado a la piscina de un hotel.
Los investigadores de Otorio dijeron a SecurityWeek que los hacktivistas aparentemente afirmaron haber violado un sistema más importante que la HMI de la piscina de un hotel - probablemente pensaron que los parámetros de pH y cloro estaban asociados con el agua potable. Los expertos señalaron que, sin realizar su análisis, habría sido difícil saber que el ICS está asociado a una piscina.
Por otra parte, según sus observaciones, un atacante podría no sólo controlar, sino también modificar esos parámetros, lo que podría suponer un riesgo para la salud de las personas que utilizan la piscina.
Aunque creían haber obtenido acceso a sistemas que podían utilizarse para controlar los parámetros del agua potable, los hackers dijeron que no alterarían ninguna configuración para evitar causar daños a la población de Israel, ya que eso iría en contra de su misión y sus creencias.
SecurityWeek ha hablado con varios expertos de empresas de ciberseguridad industrial para saber qué opinan sobre la amenaza que suponen los hacktivistas para los sistemas de control integrado. ¿Hasta dónde podrían llegar en función de sus habilidades y conocimientos, y hasta dónde lo harían?
Es bien sabido que los ICS suelen estar expuestos a Internet y, en muchos casos, se puede acceder fácilmente a estos sistemas a través de configuraciones inseguras, vulnerabilidades y herramientas ampliamente disponibles.
Hace casi una década, el gobierno de EE.UU. emitió una advertencia a las organizaciones sobre la posibilidad de que los hacktivistas pudieran atacar fácilmente los sistemas industriales.
En los últimos años ha habido varios incidentes aparentemente relacionados con los hacktivistas y los ICS. En 2020, un grupo iraní accedió a los sistemas de una instalación de agua en Israel.
Más recientemente, un grupo llamado "Gonjeshke Darande" se atribuyó el mérito de haber provocado interrupciones en Irán, entre ellas obligar a una empresa siderúrgica a detener la producción y paralizar gasolineras en todo el país. Afirmaron que los ataques eran una respuesta a la agresión de Irán.
Sin embargo, en el caso de algunos ataques, sobre todo los que afectaron a Irán, algunos expertos creen que podrían ser falsas banderas, es decir, ataques lanzados por un actor de un Estado nación bajo la apariencia de hacktivismo.
¿Qué pueden conseguir los hacktivistas cuando atacan a los ICS?
"Aunque las actividades cibernéticas de los hacktivistas pueden causar principalmente interrupciones localizadas y otros efectos, dado que el estado actual de la ciberseguridad de los ICS sigue siendo relativamente malo, el aprovechamiento de las frecuentes desconfiguraciones de los dispositivos, el acceso no forzado de terceros y otras debilidades básicas de seguridad por parte de estos hackers también puede tener consecuencias importantes que pongan en peligro la seguridad pública", dijo Langer.
David Krivobokov, investigador de seguridad de Otorio, comentó: "El hecho de que los sistemas ICS operativos estén conectados directamente a Internet sin ninguna medida de seguridad adecuada, realmente baja el listón para este tipo de amenazas, lo que hace que sea más efectivo explotar la infraestructura OT para asustar al público que desfigurar un sitio web. Además, el daño potencial para un atacante que se conecta a uno de estos sistemas no es menos que catastrófico en muchos casos. Si su objetivo es asustar al público, están haciendo exactamente lo que yo haría si fuera ellos".
Un aspecto interesante lo señala Danielle Jablanski, estratega de ciberseguridad de OT en Nozomi Networks.
"Puede haber una disonancia cognitiva y una compartimentación de las actividades que se dan en las campañas organizadas de hacktivismo, en las que los individuos pueden pensar que están haciendo algo pequeño o insignificante, pero que en realidad resulta tener impactos catastróficos. Esto se acentúa cuando se trata de alterar los procesos y controles físicos de los productos, servicios y recursos de los que dependemos para mantener la vida cotidiana", explicó Jablanski.
Señaló que los piratas informáticos de los ejemplos recientes vistos por Otorio probablemente no estén familiarizados con las tecnologías de la información.
"Mi preocupación es que cuando los individuos cierren esa brecha de conocimiento, cuánto más ventaja tendrán en este tipo de actividades. Como industria, no sabemos cuál es el umbral exacto para la cantidad de datos disponibles y el acceso que llevará a la explotación generalizada de los sistemas de control de procesos", dijo Jablanski.
Y añadió: "A pesar de la intención y las consecuencias de atacar los sistemas de control de procesos, muchos de ellos cuentan con medidas de contingencia y métodos de recuperación de fallos para evitar que se produzcan los peores escenarios. Creo que la capacidad de interrumpir y degradar el sistema de control de procesos supone un riesgo social importante. Realmente es una cuestión de cuándo, no de si, se producen más incidentes de ICS".
Sharon Brizinov, directora de investigación de seguridad de Claroty, señaló que en algunos casos basta con que los atacantes "reclamen el acceso a infraestructuras críticas para llamar la atención, demostrar sus capacidades técnicas y reclamar algún tipo de victoria política".
"No obstante, los propietarios y operadores de activos no deben tomar a la ligera a los hacktivistas. El potencial de interrupción existe dado el tipo de acceso que un grupo puede obtener, y nada impide que un hacktivista se convierta en un extorsionista y afirme haber robado datos o amenace con infectar los sistemas informáticos críticos con un ransomware, por ejemplo", dijo Brizinov.
Thomas Winston, director de contenidos de inteligencia de Dragos, dijo que los ataques de los hacktivistas a los sistemas informáticos suelen ser de pequeño alcance: pueden causar la pérdida temporal de la vista y potencialmente la pérdida de control. Sin embargo, incluso un incidente de este tipo, temporal o limitado, podría plantear serios problemas a, por ejemplo, las organizaciones del sector del agua, y afectar a la confianza del público en la seguridad del agua.
Por otra parte, Winston señaló: "Siempre hay excepciones para todo, pero para lograr una interrupción extensa a largo plazo de las operaciones de estado estable de la planta a menudo se requerirán conocimientos de ICS/OT y acceso a dispositivos ICS/OT que no sean de Windows".
Winston señaló que los ataques disruptivos contra el ICS requieren importantes recursos, incluso en términos de dinero, investigación y personal. Sin embargo, dijo que es común ver a los adversarios dirigirse a las redes de TI de la empresa y descubrir accidentalmente una red OT conectada o mal segmentada.
¿Qué deben hacer las organizaciones?
"Estos ataques pueden mitigarse fácilmente asegurando el acceso a Internet, endureciendo los mecanismos de autenticación, realizando una supervisión básica de la seguridad de los sistemas de control de acceso (ICS) por parte de un MSSP elegido, aplicando una normativa básica de ciberseguridad, etc.", dijo Langer.
"Las empresas deben prepararse para estas y otras amenazas más importantes realizando una evaluación periódica de los ciberriesgos, no sólo en las redes de TI, sino también en los segmentos de OT, teniendo en cuenta la importancia real del negocio y del entorno", añadió.
Fuente: https://www.securityweek.com/hacktivist-attacks-show-ease-hacking-industrial-control-systems