Durante dos días a mediados de enero, algunos ucranianos en la ciudad de Lviv tuvieron que vivir sin calefacción central y soportar temperaturas heladas debido a un ataque cibernético contra una empresa de energía municipal, han concluido desde entonces investigadores de seguridad y autoridades ucranianas.
El martes, la empresa de ciberseguridad Dragos publicó un informe con detalles sobre un nuevo malware denominado FrostyGoop, que según la empresa está diseñado para atacar sistemas de control industrial, en este caso específicamente contra un tipo de controlador de sistema de calefacción.
Los investigadores de Dragos escribieron en su informe que detectaron por primera vez el malware en abril. En ese momento, Dragos no tenía más información sobre FrostyGoop aparte de la muestra de malware y creía que solo se utilizaba para pruebas. Sin embargo, más tarde, las autoridades ucranianas advirtieron a Dragos que habían encontrado evidencia de que el malware se utilizó activamente en un ciberataque en Lviv durante la tarde del 22 de enero hasta el 23 de enero.
“Esto resultó en la pérdida de calefacción en más de 600 edificios de apartamentos durante casi 48 horas”, dijo Mark “Magpie” Graham, un investigador de Dragos, durante una llamada con periodistas informados sobre el informe antes de su publicación.
Un portavoz del Consejo de Seguridad de Ucrania le dijo a TechCrunch en un correo electrónico que “participó en medidas de respuesta” tras el ataque.
“Como resultado: las consecuencias del ciberataque se neutralizaron rápidamente y los servicios fueron restaurados”, dijo el portavoz en un correo electrónico, que fue traducido por una máquina, ya que estaba escrito en ucraniano. El portavoz confirmó que el ataque ocurrió en enero de 2024 y que afectó “a más de 600 hogares en la ciudad”. El portavoz también dijo que los piratas informáticos apuntaron “a la infraestructura de información y comunicación de LvivTeploEnergo”, que es un gran proveedor de calor y agua caliente.
Los investigadores de Dragos Graham, Kyle O’Meara y Carolyn Ahlers escribieron en el informe que “la remediación del incidente tomó casi dos días, durante los cuales la población civil tuvo que soportar temperaturas bajo cero”.
El malware FrostyGoop está diseñado para interactuar con dispositivos de control industrial (ICS) a través de Modbus, un protocolo de décadas de antigüedad ampliamente utilizado en todo el mundo para controlar dispositivos en entornos industriales, lo que significa que FrostyGoop podría usarse para atacar a otras empresas y instalaciones en cualquier lugar, según Dragos.
Dragos dijo que FrostyGoop es el noveno malware específico de ICS que ha encontrado a lo largo de los años. Entre los más famosos se encuentran Industroyer (también conocido como CrashOverride), que fue utilizado por el infame grupo de piratería vinculado al gobierno ruso Sandworm para apagar las luces en Kiev y más tarde para desconectar subestaciones eléctricas en Ucrania. Fuera de esos ciberataques dirigidos a Ucrania, Dragos también ha visto Triton, que fue desplegado contra una planta petroquímica saudí y contra una segunda instalación desconocida más tarde; y el malware CosmicEnergy, que fue descubierto por Mandiant el año pasado.
¿Tiene más información sobre este ciberataque? ¿O ataques similares dirigidos a ICS en Ucrania y más allá? Desde un dispositivo no laboral, puede contactar de manera segura a Lorenzo Franceschi-Bicchierai en Signal al +1 917 257 1382, o por Telegram y Keybase @lorenzofb, o por correo electrónico. También puede contactar a TechCrunch a través de SecureDrop.
Los investigadores de Dragos escribieron que creen que los piratas informáticos a cargo del malware FrostyGoop obtuvieron acceso por primera vez a la red de la empresa de energía municipal objetivo explotando una vulnerabilidad en un enrutador MikroTik expuesto a Internet. Los investigadores dijeron que el enrutador no estaba “adecuadamente segmentado” junto con otros servidores y controladores, incluido uno fabricado por ENCO, una empresa china.
Graham dijo en la llamada que encontraron controladores abiertos de ENCO en Lituania, Ucrania y Rumanía, subrayando una vez más que si bien FrostyGoop se utilizó en un ataque dirigido en Lviv en esta ocasión, los piratas informáticos a cargo podrían apuntar al malware en otro lugar. ENCO y sus empleados no respondieron de inmediato a la solicitud de comentarios de TechCrunch.
“Los adversarios no intentaron destruir los controladores. En lugar de eso, los adversarios hicieron que los controladores informaran mediciones inexactas, lo que resultó en un funcionamiento incorrecto del sistema y la pérdida de calefacción para los clientes”, escribieron los investigadores.
Durante la investigación, los investigadores dijeron que concluyeron que los piratas informáticos “posiblemente obtuvieron acceso” a la red objetivo en abril de 2023, casi un año antes de desplegar el malware y apagar la calefacción. En los meses siguientes, los piratas informáticos continuaron accediendo a la red y el 22 de enero de 2024, se conectaron a la red a través de direcciones IP con sede en Moscú, según el informe.
A pesar de las direcciones IP rusas, Dragos no señaló a ningún grupo de piratería o gobierno en particular como responsable de este apagón cibernético, porque la empresa no pudo encontrar vínculos con actividades o herramientas anteriores, y debido a la política de larga data de la empresa de no atribuir ciberataques, según Graham.
Lo que Graham sí dijo es que él y sus colegas creen que esta operación disruptiva se llevó a cabo a través de Internet, en lugar de lanzar misiles a la instalación, probablemente como un esfuerzo para socavar la moral de los ucranianos que viven allí.
“Creo que es un esfuerzo muy psicológico aquí, facilitado a través de medios cibernéticos cuando lo cinético quizás no era la mejor opción aquí”, dijo Graham.
Finalmente, el director de tecnología de campo de Dragos, Phil Tonkin, dijo que si bien es importante no subestimar a FrostyGoop, también es importante no exagerar.
“Es importante reconocer que si bien esto es algo que se ha utilizado activamente”, dijo durante la llamada con la prensa, “también es muy, muy importante que no pensemos que esto es algo que inmediatamente va a derribar la red eléctrica de la nación”.
Este artículo se actualizó para incluir comentarios del Consejo de Seguridad de Ucrania.
