El pasado 23 de diciembre los habitantes de la región ucraniana de Ivano-Frankivsk se quedaron sin electricidad durante varias horas. Pero no fue un corte de energía al uso, sino que fue provocado por un troyano que atacó los sistemas de la central eléctrica. La compañía de seguridad ESET fue la que descubrió que, efectivamente, se trataba de un ciberataque, que no sólo atacó compañías eléctricas, sino que también afectaron a diversos ministerios del país.

Pesadilla antes de Navidad

23 de diciembre, un día antes de Nochebuena. Aproximadamente la mitad de la población de la zona Ivano-Frankivsk, en el suroeste de Ucrania, sufre un apagón durante varias horas. En un principio se pensaba que era un accidente aislado que afectaba a los clientes de la compañía eléctrica TNS. Sin embargo, otras compañías eléctricas estaban siendo afectadas al mismo tiempo. ¿La causa? Las centrales estaban siendo atacadas por cibercriminales, que estaban usando un troyano de puerta trasera. Mediante este troyano, denominado BlackEnergy, los ciberdelincuentes estaban infectando los ordenadores de las compañías con KillDisk, otro troyano que provocaba que los equipos no pudieran reiniciarse.

troyanos blackenergy central electrica killdisk

¿Cómo funcionan BlackEnergy y KillDisk?

Estos dos troyanos funcionaron “de maravilla” de forma conjunta. BlackEnergy es un troyano de puerta trasera (backdoor) modular, que usa varios componentes descargables para realizar diferentes tareas. Este troyano se ha usado en más ocasiones durante 2014, en objetivos que apuntaban al ciberespionaje, con ataques a sedes del gobierno de Ucrania. Pero en esta ocasión, este troyano fue usado para introducir otro troyano, KillDisk. 

KillDisk es un troyano muy destructivo, que una vez ejecutado en los sistemas (previamente infectados por BlackEnergy) puede destruir vídeos y documentos. El troyano usado durante los ataques contra las compañías eléctricas es una variante que incluye funcionalidades adicionales que permitían al troyano, no sólo borrar archivos del sistema para evitar cualquier posibilidad de reinicio (común en los troyanos más destructivos), sino que también contenía códigos específicos para sabotear sistemas industriales.

blackenergy killdisk

No es la primera vez

En noviembre de 2015 ya fue denunciada la primera conexión entre BlackEnergy y KillDisk, precisamente por la Secretaría de Ciberseguridad del Gobierno ucraniano. Varias compañías fueron atacadas durante las elecciones locales del país. Debido a ese ataque, fueron destruidos documentos del gobierno.

Desde ESET explican que KillDisk también es capaz de finalizar procesos que se encuentren en los sistemas afectados, y además, puede sobreescribir archivos ejecutables en el disco duro con datos aleatorios, para que de esta forma la restauración del sistema sea más compleja. La compañía de seguridad ha publicado las conclusiones de la investigación en la que analizan cómo los fallos sufridos por las compañías eléctricas de Ucrania el pasado mes de diciembre fueron causados por unos ciberataques que también afectaron a diversos ministerios del país.

Este ataque recuerda a uno de los más famosos que han tenido lugar en una infraestructura crítica, el popular Stuxnet, el malware que se cree que fue desarrollado por EEUU e Israelpara sabotear el programa nuclear iraní. O Havex, otro malware similar que fue usado para atacar diferentes sistemas SCADA europeos. El ocurrido en Ucrania es otro ataque que pone de manifiesto la importancia de las infraestructuras críticas, los sistemas SCADA y su protección.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

Deja un comentario