El gobierno ucraniano ha revelado que apenas ha evitado un ciberataque grave a la red eléctrica del país.
Los piratas informáticos se dirigieron a una de sus compañías de energía más grandes e intentaron cerrar las estaciones transformadoras, lo que habría provocado cortes de energía para dos millones de personas.
El malware utilizado en el ataque es similar al utilizado por los piratas informáticos rusos que anteriormente habían causado cortes de energía en Kiev.
Los investigadores creen que el grupo militar ruso Sandworm es el responsable.
Se trata del ciberataque más grave hasta el momento contra Ucrania desde la invasión rusa.
En conferencia de prensa este martes, Viktor Zhora, vicepresidente del Servicio Estatal de Comunicaciones Especiales, dijo que su equipo fue alertado de un posible ataque a las redes de energía al inicio de la invasión a su país.
Dijo que a pesar de un gran esfuerzo para asegurar la ciberdefensa de las organizaciones de energía en el país, los piratas informáticos habían podido comprometerse con una empresa privada no identificada que era responsable del suministro de electricidad a dos millones de habitantes.
“Los piratas informáticos planearon que los cortes de energía del 8 de abril se produjeran el viernes por la noche, antes del fin de semana”, dijo Zhora.
“Parece que hemos sido extremadamente afortunados de responder a esto de manera oportuna”.
Zhora agradeció a los investigadores de las empresas de ciberseguridad Eset y Microsoft por ayudar a identificar y neutralizar el software malicioso utilizado en el ataque.
En un comunicado, Eset dijo que había trabajado en estrecha colaboración con la autoridad cibernética de Ucrania “para abordar y proteger esta red de infraestructura crítica”.
Agregó: “La colaboración resultó en el descubrimiento de una nueva variante del malware Industroyer, con el que nos asociamos [Ukrainian cyber authority] Cert-UA, denominado Industroyer2.”
Industroyer es el nombre de la pieza de malware que fue se utilizó en 2016 para vencer a las estaciones de transformadores eléctricos en Kiev fuera de línea Por una hora aproximadamente.
El ataque fue atribuido a un equipo de piratería respaldado por el Kremlin conocido como Sandworm, supuestamente una unidad cibermilitar rusa y parte de su servicio de inteligencia militar extranjero, GRU.
Sandworm también está acusado de causar cortes de energía que afectaron a más de 200.000 hogares en varias ciudades de Ucrania el año anterior.
Rusia niega haber llevado a cabo los ataques cibernéticos, pero ambos incidentes han sido culpados públicamente por los EE. UU. y la UE a Sandworm, y las autoridades cibernéticas han nombrado a algunos sospechosos de piratería.
Los investigadores dicen que los piratas informáticos Sandworm en este último ataque intentaron distribuir el malware Industroyer2 contra subestaciones eléctricas de alto voltaje en Ucrania y distribuir varios tipos maliciosos destructivos, incluido CaddyWiper.
CaddyWiper es una de varias piezas de software de limpiaparabrisas repartidos por Ucraniadiseñado para borrar datos en sistemas informáticos infectados.
También se utilizó una secadora. interfiere con el proveedor de comunicaciones por satélite de EE. UU. Viasat en el primer día de la invasión de Ucrania.
Los funcionarios occidentales creen que es casi seguro que esto fue obra de Rusia, pero aún no han reunido las pruebas para hacer una acusación pública.
El país también ha sido bombardeado repetidamente con ciberataques de bajo nivel, y su gobierno dice que ha habido tres veces más intentos de piratería contra su sistema que antes de la guerra.