Dinamarca sufre el mayor ciberataque jamás registrado

Ver también: Seminario web en vivo | IA generativa: mitos, realidades y casos de uso prácticos

SektorCERT, un centro de ciberseguridad sin fines de lucro para sectores críticos en Dinamarca, informó que los atacantes obtuvieron acceso a los sistemas de 22 empresas que supervisan varios componentes de la infraestructura energética danesa en mayo. El informe publicado el domingo dice Los piratas informáticos explotaron las vulnerabilidades de día cero en los firewalls Zyxel, que muchos operadores daneses de infraestructura crítica utilizan para proteger sus redes.

La mayoría de los ataques fueron posibles porque las empresas no habían actualizado sus cortafuegos, afirmó SektorCERT. Dijo que varias empresas optaron por no recibir la actualización de software porque había un cargo por la instalación. Algunas empresas asumieron erróneamente que los firewalls Zyxel, relativamente nuevos, ya presentaban las últimas actualizaciones, y otras creyeron erróneamente que el proveedor era responsable de implementar las actualizaciones.

Las vulnerabilidades del firewall, reportadas inicialmente en abril y rastreadas como CVE-2023-28771, permiten a los atacantes obtener acceso remoto a sistemas de control industrial sin autenticación. SektorCERT describió el ciberataque como “notable” por su meticulosa planificación y coordinación, diciendo que los actores de la amenaza demostraron una capacidad para identificar empresas con dispositivos vulnerables y orquestar una campaña simultánea contra las empresas objetivo.

“Hasta el día de hoy no hay una explicación clara de cómo los atacantes obtuvieron la información necesaria, pero podemos afirmar que entre los 300 miembros no fallaron ni un solo tiro”, dice el informe.

Según el informe, once empresas se vieron comprometidas “inmediatamente”, lo que permitió a los atacantes obtener el control del firewall y acceder a la infraestructura crítica detrás de él. SektorCERT dijo que el ataque simultáneo impidió que las compañías energéticas advirtieran a otros con antelación “ya que todos son atacados al mismo tiempo”.

El informe describió el propósito del ciberataque como recopilación de inteligencia y dijo que los atacantes habían ejecutado un código en el firewall que provocó que enviara nombres de usuarios y detalles de configuración. SektorCERT dijo que “estimó que los atacantes utilizaron este comando como reconocimiento para ver cómo estaban configurados los respectivos firewalls y luego elegir cómo continuar el ataque posterior”.

Los ataques comenzaron el 11 de mayo, seguidos de 10 días de inactividad. Una segunda ola de ataques comenzó el 22 de mayo cuando SektorCERT recibió una alerta de que uno de sus miembros había descargado un nuevo software de firewall a través de una conexión insegura. Aún no está claro qué actores estatales u organizaciones cibercriminales específicas están detrás de los ataques, ni tampoco si varios grupos estuvieron involucrados en la serie de incidentes cibernéticos dirigidos a la infraestructura crítica danesa.

El análisis de SektorCERT indicó que el tráfico en las redes violadas provenía de servidores asociados con una unidad de piratas informáticos militares rusos conocida popularmente como Sandworm. Sandworm, también conocido como Seashell Blizzard y Voodoo Bear, ha atacado notoriamente operaciones de infraestructura crítica en Ucrania mientras Rusia lleva a cabo su guerra de conquista. Un informe publicado a principios de este mes decía que el grupo de piratas informáticos había utilizado técnicas novedosas para llevar a cabo un ataque dirigido a una subestación eléctrica ucraniana (ver: Hackers militares rusos provocaron un corte de energía en octubre de 2022.)

Varias de las empresas atacadas evitaron causar un impacto significativo en el sistema energético danés al desconectarse de las redes eléctricas locales o nacionales y entrar en funcionamiento en modo isla, lo que aisló sus sistemas y evitó la posible propagación del ataque a todo el sistema energético danés en general.

SektorCERT instó a las empresas a establecer redes segmentadas para evitar infracciones en toda la empresa y garantizar que se hayan mapeado todas las entradas de la red a los sistemas de tecnología operativa.