Malware Irongate en sistemas industriales de Siemens

Un malware similar al conocido Stuxnet está acechando los sistemas informatizados de control industrial de Siemens, según han informado los técnicos de FireEye.

De nombre Irongate, este malware fué detectado por primera vez en 2014, aunque parece ser que ha volado bajo el radar hasta 2015, cuando se toparon con un «dropper» compilado con PyInstaller. Tiene algunas similitudes con Stuxnet, aquel malware que sacudió la planta de enriquecimiento de Uranio de Natanz, en Irán, en 2012.

El malware para sistemas SCADA y de control industrial es un problema de primer orden, suelen ser sistemas anticuados y a los que no se presta mucha atención.

Malware Irongate en plantas de Siemens

El Siemens Product Computer Emergency Readiness Team (ProductCERT) ha confirmado en un post, publicado por FireEye que, aunque este malware puede operar en sistemas simulados de control de entorno de Siemens, no es capaz de operar en entorno de producción final.

Es decir, parece que no afecta de forma sustancial a ningún producto de Siemens. Sin embargo, parece que sí es capaz de sostener ataques MiTM (hombre en el medio) contra procesos de entrada y salida en el software de simulación de producción industrial.

Características del malware

El malware sustituye una DLL maliciosa para operar como un agente situado entre los PLC (controladores lógicos programables) y el software de monitorización de los mismos. La forma de permanecer oculto es sencilla: la DLL captura 5 segundos de tráfico normal desde un PLC a la interfaz, reproduciéndolos constantemente.

Evasión de sistemas de seguridad

Por otro lado, es capaz de evadir la Sandbox colocada en el sistema, convenciendo así a los supervisores de que están ante una herramienta sospechosa. Y es que 5 de cada 6 droppers basados en python, accedidos por Irongate, comprueban la existencia de VMWare o Cuckoo Sandbox en el entorno.

En caso de localizar un entorno Sandbox, el malware Irongate permanecerá «dormido» y no lanzará el payload basado en .NET -proceso scada.exe– al anfitrión. Esto es claramente un intento de ocultarse.

Irongate vs Stuxnet

Si comparamos ambas muestras, se parecen en la forma en que buscan un proceso específico para manipularlo reemplazando una DLL, pero sí hay dos diferencias notables entre ambos.

Lo primero, Irongate utiliza evasión de Sandbox mientras Stuxnet intenta evasión de antivirus. Lo segundo, Irongate intenta esconder su manipulación y presencia mediante el reemplazo de tráfico legítimo previamente capturado, algo que Stuxnet no podía realizar.

¿Quién es responsable de Irongate? ¿Nos preocupamos o no?

Lo curioso es que, según FireEye, las características de este malware sugieren que es una PoC o prueba de concepto de algún investigador de seguridad y no algo realmente grave. Sí que deja patente la importancia de una verificación criptográfica en procesos industriales controlados.

Los procesos industriales deberían contar con controles de integridad, firmas de código y comprobaciones rutinarias de salud para entrada/salida de datos, para así evitar manipulación de equipamientos.

Aunque se ha dicho por ahí que el malware Irongate está funcionando de forma descontrolada, la rotundidad con la que Siemens lo describe como incapaz de funcionar en entorno operacional sugiere que estamos más bien ante una prueba de concepto, destinada a anticiparse a este tipo de casos.

Conclusión: relajarse no es una opción

Este caso sirve para recordarnos el riesgo de olvidar el pasado y el potencial daño que pueden sufrir estos sistemas críticos, tal como afirman en ThreatPost:

No hemos visto demasiados progresos desde el caso Stuxnet, para poder solucionar los problemas que Irongate pone sobre la mesa. La preocupación viene por la facilidad creciente con la que estos ataques se desarrollan, lo que nos obliga a mejorar nuestras defensas.

No sabemos quién es el responsable de esta muestra, aunque teorías no faltan: los hay que dicen que alguien estaba intentando conseguir que otros copiasen el código desde los sistemas de simulación controlada de Siemens a una versión funcional en entornos finales, y que habría sido cargada en VirusTotal como un intento de conocer qué antivirus podría detectar el malware.

FireEye, por su parte, sugiere que Irongate podría ser el proyecto personal de algún investigador de seguridad que, símplemente, abandonó el código. Lo que importa es no olvidarse de que la amenaza permanece ahí fuera.