Después del Oleoducto Colonial, los Operadores de Infraestructura Crítica Permanecen Ciegos a los Riesgos Cibernéticos



BLACK HAT EE. UU. — Las Vegas — El ataque de ransomware sin precedentes contra Colonial Pipeline el año pasado muestra que los operadores de infraestructura crítica han progresado poco en la protección de sus redes 12 años después del descubrimiento de Stuxnet. Autor y periodista kim zetter dio una reprimenda mordaz a Colonial Pipeline durante la sesión de apertura del segundo día de Black Hat Usa, sus líderes tenían muchas advertencias que podrían haber evitado el ataque paralizante.

Zetter, que ha cubierto muchos incidentes cibernéticos importantes durante más de dos décadas, está autor del libro Cuenta atrás para el día cero: Stuxnet y el lanzamiento de la primera arma digital del mundo (Corona: 2015). Stuxnet, el gusano malicioso que los expertos en seguridad descubrieron en una instalación de enriquecimiento de uranio iraní en 2010, se dirigió explícitamente al sistema Siemens S7-400. El descubrimiento anunció una nueva generación de ataques dirigidos, según Zetter.

«Cuando se descubrió Stuxnet en 2010, arrojó luz sobre las vulnerabilidades y la infraestructura crítica que pocos habían notado antes», dijo Zetter. «La comunidad de seguridad se centró en gran medida en las redes de TI. Anteriormente habían ignorado lo que se conoce como redes operativas, redes OT, sistemas de management industrial, todos esos sistemas que gestionan tuberías y vías férreas y la crimson eléctrica y plantas de tratamiento de agua y fabricación, etc. muchas otras industrias fundamentales».

Stuxnet fue más importante por lo que presagiaba que cualquier daño resultante en ese momento. Introducido en una crimson a través de una unidad USB, Stuxnet consiste en software program malicioso, un archivo LNK de Windows diseñado para propagarlo y un rootkit que oculta los archivos maliciosos.

También en 2010, el descubrimiento de una amenaza persistente avanzada (APT) llamada Aurora expuso las crecientes capacidades de los piratas informáticos de los estados-nación, señaló Zetter.

El descubrimiento de Stuxnet no debería haber sido una sorpresa en ese entonces, pero abrió algunos ojos por primera vez, según Zetter.

«Stuxnet proporcionó evidencia contundente de que la destrucción física de la infraestructura crítica usando nada más que el código period posible», dijo. «Pero nadie debería haberse sorprendido. Ha habido advertencias sobre el uso de armas digitales para interrumpir o destruir infraestructura crítica una década antes de Stuxnet».

Zetter dijo que el impacto de Stuxnet fue significativo y señaló los cuatro cambios principales que trajo a la seguridad: Stuxnet creó un efecto de goteo en forma de técnicas y herramientas, inició la carrera armamentista cibernética precise, estableció la politización de la investigación de seguridad y la seguridad cibernética. -defensa, y arrojar luz sobre la vulnerabilidad de la infraestructura crítica.

Coincidiendo con Stuxnet fue el descubrimiento de Aurora, subrayó Zetter. «Muchos de ustedes probablemente recuerden que esta fue una campaña de espionaje generalizada de China que afectó a 34 empresas y apuntó a los repositorios de código fuente de Google, Adobe y Juniper», dijo. «Y [it] incluyó una de las primeras operaciones importantes de la cadena de suministro dirigidas al repositorio RSA C, el motor de sus sistemas de autenticación multifactorial».

Los riesgos siguen siendo altos para los sistemas de handle industrial

El ataque de alto perfil que bloqueó a Colonial Pipeline, que distribuye el 45 % del combustible en la costa este de EE. UU., lo obligó a cerrar sus 5500 millas de oleoducto hasta que pagó más de 4,4 millones de dólares en rescate. Zetter sugirió que no hay razón para que el ataque de ransomware del año pasado haya tomado por sorpresa a los principales líderes de la compañía.

«Lo que sucedió con Colonial Pipeline el año pasado period previsible, al igual que la creciente amenaza del ransomware», dijo Zetter. «Como dijo el CEO de la compañía a los legisladores en Capitol Hill meses después, aunque tenía un strategy de respuesta de emergencia, ese prepare de respuesta no incluía un ataque de ransomware, a pesar de que los atacantes de ransomware habían estado apuntando a la infraestructura crítica desde 2015, por lo que las señales estaban ahí. si Colonial Pipeline hubiera mirado».

Zetter señaló las estadísticas de Significant Infrastructure Ransomware Attacks (CIRA) compilado por la Universidad de Temple en 2019, solo dos años antes del ataque al Oleoducto Colonial. Los investigadores contaron unos 400 ataques de ransomware en infraestructura crítica en 2020 y 1246 ataques entre noviembre de 2013 y el 31 de julio de 2022.

“Estos no fueron solo ataques a hospitales, que por supuesto habían sido un gran objetivo para los actores de ransomware en 2016”, dijo. «Pero estos también tenían como objetivo las instalaciones de petróleo y gasoline. Y los atacantes no solo tenían como objetivo los sistemas de TI. Ya estaban persiguiendo las redes OT que controlan los procesos críticos».

Además, Zetter señaló que en 2020, el año anterior al ataque del Oleoducto Colonial, Mandiant informó que siete familias de ransomware habían atacado organizaciones que operan sistemas de control industrial desde 2017. Los ataques crearon importantes interrupciones y demoras en la producción y la entrega.

También en 2020, 10 meses antes del ataque al Oleoducto Colonial, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió un recordatorio de la Iniciativa de Seguridad Cibernética de Tuberías del Departamento de Seguridad Nacional (DHS). El esfuerzo, creado por DHS en 2018, fue un esfuerzo conjunto de CISA, la Administración de Seguridad del Transporte (TSA) y varias partes interesadas del sector privado y federal.

Zetter indicó que probablemente no sea irónico que DHS anunció nuevos requisitos de ciberseguridad para aquellos que poseen y operan oleoductos críticos dos meses después del ataque al Oleoducto Colonial. “No pretendo golpear a Colonial Pipeline, son solo un ejemplo conveniente, porque el ataque fue muy significativo”, dijo. «Pero otra infraestructura crítica está en la misma posición o peor».



Enlace a la noticia original