Supuestas aplicaciones Siemens PLC dirigidas contra sistemas de control industrial

El Proyecto MIMICS -dirigido por el Centro de Análisis de amenazas Dragos- ha puesto a la vista muestras de malware, disfrazado de sistema PLC de Siemens, que está afectando a sistemas de control industrial en todo el mundo. El pasado Junio de 2016, fueron los propios sistemas Siemens los afectados por un peligro similar.

¿Quién no se acuerda de Stuxnet? Después de un caso tan grave como aquel, en el que fuerzas israelíes y del Tailored Operations Center, situado en el país de las hamburguesas, tuvieran un resultado tan catastrófico sobre las plantas de producción de agua pesada de Irán -siempre supuestamente, faltaría más- la seguridad industrial empezó a ver los peligros del malware en sus sistemas de control.

Y es que pronto resultó evidente el peligro que este tipo de ataques supondría para las vidas humanas. Resulta pues interesante este informe del Dragos Threat Operations Center, liderado por su director Ben Miller, donde se reúnen datos de incidentes reconocidos durante los últimos 13 años.

Datos recogidos por MIMICS

El proyecto ha estudiado sistemas de control industrial modernos (MIMICS) usando fuentes de información públicas. Así lo explica Robert M. Lee, CEO de la empresa:

En este proyecto, el equipo se fijó en fuentes de datos públicas como VirusTotal, para identificar las amenazas y (en muchos casos) archivos legítimos que fueron remitidos para animar un debate más profesional sobre la seguridad en ICS modernos.

Se han estudiado hasta 30000 muestras de archivos infectados, que datan desde 2003 hasta nuestros días. Los más peligrosos son aquellos que se expandieron más rápidamente, como Ramnit, Virut o Sivis.

Los expertos han confirmado que las infecciones en sistemas de control industrial no son algo raro, hablando de las tres muestras principales hasta ahora y que son de dominio público: Stuxnet, Havex y BlackEnergy2, aunque se ha estado hablando de al menos otras dos campañas estudiadas actualmente con objetivos similares.

Malware suplanta sistemas PLC de Siemens

El observatorio ha descubierto que muchas variantes, de un mismo programa malicioso de este tipo, han estado suplantando equipos PLC de Siemens. Un PLC es un Programmable Logic Controller, un pequeño circuito simple que permite realizar operaciones sobre un elemento industrial. Este tipo de malware se ha detectado 10 veces en los pasados 4 años. La última vez que se ha visto uno de estos fue a primeros de Marzo de 2017.

Parece ser que los sistemas de antivirus catalogaron estas muestras, en un principio, como falsos positivos. Después fueron calificadas como una amenaza de tipo básico, hasta que los miembros del equipo observaron algunas infecciones activas durante los últimos 4 años, por suerte sin consecuencias graves.

El último descubrimiento que ha hecho el equipo Dragos se refiere a las tecnologías de seguridad. Aconsejan tener cuidado con aquellos sistemas que no están pensados para trabajar en entornos industriales, porque se han dado casos en que el propio software de funcionamiento ha sido catalogado como dañino, con el agravante de que podría colcocarse en base de datos públicas con esta errónea catalogación.

Conclusiones

Los investigadores de este tipo de amenazas lo tienen claro: es necesario implementar buenas prácticas -monitorización de seguridad de red, básicamente- para reducir drásticamente la superficie de ataque en estos supuestos.