Resumen Ejecutivo
El Departamento de Energía (DOE), la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) han lanzado una alerta a los fabricantes y operadores de sistemas de control de procesos y controladores (sistemas ICS/SCADA) de que han detectado que diferentes actores de amenazas persistentes (APT) han logrado obtener y desarrollar las herramientas necesarias para llegar a comprometer a diferentes organizaciones, centrándose en la infraestructura crítica.
Sandworm es un grupo APT vinculado con la Unidad Militar 74455, de la Dirección General de Inteligencia (GRU o GU) del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa.
Algunos de los sistemas que podrían ser comprometidos son los siguientes:
- Controladores lógicos programables (PLC) de Schneider Electric.
- PLC OMRON Sysmac NEX.
- Servidores de arquitectura unificada de comunicaciones de plataforma abierta (OPC UA).
Según el CISA, los actores APT han desarrollado herramientas personalizadas para apuntar a dispositivos ICS/SCADA. Las herramientas les permiten buscar, comprometer y controlar los dispositivos afectados una vez que han establecido el acceso inicial a la red de tecnología operativa (OT). Además, los actores de amenazas pueden comprometer las estaciones de trabajo de ingeniería basadas en Windows, que pueden estar presentes en entornos de tecnología de la información (TI) u OT, utilizando un exploit que compromete un controlador de placa base ASRock con vulnerabilidades conocidas. Al comprometer y mantener el acceso completo del sistema a los dispositivos ICS/SCADA, los actores APT podrían tener permisos para escalar privilegios, moverse lateralmente dentro de un entorno OT e interrumpir dispositivos o funciones críticas.

Diagrama de Modus Operandi.
Imagen: Mandiant
Además, los grupos APT pueden usar una herramienta que instala y explota un controlador de placa base firmado por ASRock, explotando la vulnerabilidad identificada como CVE-2020-15368, la que permite ejecutar código malicioso en el kernel de Windows. La implementación exitosa de esta herramienta puede permitir que los grupos APT el poder moverse lateralmente dentro de un entorno de TI u OT e interrumpan dispositivos o funciones críticas.
Recomendaciones
- Aísle los sistemas y redes ICS/SCADA de las redes corporativas y de Internet utilizando fuertes controles perimetrales, y limite cualquier comunicación que entre o salga de los perímetros ICS/SCADA.
- Aplique el segundo factor de autentificación (2FA/MFA) para todo el acceso remoto a redes y dispositivos ICS siempre que sea posible.
- Tenga un plan de respuesta a incidentes cibernéticos y ejecútelo regularmente con las partes interesadas en TI, ciberseguridad y operaciones.
- Cambie todas las contraseñas a dispositivos y sistemas ICS / SCADA en un horario consistente, especialmente todas las contraseñas predeterminadas, a contraseñas seguras únicas del dispositivo para mitigar los ataques de fuerza bruta de contraseñas y para brindar a los sistemas de monitoreo de defensores oportunidades para detectar ataques comunes.
- Mantenga copias de seguridad fuera de la redes conocidas para una recuperación más rápida en un ataque disruptivo, y realice comprobaciones de hash e integridad en los archivos de configuración del firmware y del controlador para garantizar la validez de esas copias de seguridad.
- Limite las conexiones de red de los sistemas ICS/SCADA a solo estaciones de trabajo de administración e ingeniería específicamente autorizadas.
- Proteja de forma robusta los sistemas de administración mediante la configuración de Device Guard, Credential Guard e Hypervisor Code Integrity (HVCI). Instale las soluciones de Endpoint Detection and Response (EDR) en estas subredes y asegúrese de que se configuran los valores de reputación de los archivos antivirus sólidos.
- Implemente una sólida recopilación y retención de registros desde sistemas ICS/SCADA y subredes de administración.
- Aproveche una solución de monitoreo continuo de OT para alertar sobre indicadores y comportamientos maliciosos, observando los sistemas internos y las comunicaciones para detectar acciones hostiles conocidas y movimiento lateral. Para mejorar la visibilidad de la red para identificar potencialmente el tráfico anormal.
- Asegúrese de que todas las aplicaciones solo se instalen cuando sea necesario para el funcionamiento.
- Hacer cumplir el principio de privilegios mínimos. Solo use cuentas de administrador cuando sea necesario para tareas, como instalar actualizaciones de software.
- Investigar los síntomas de una denegación de servicio o corte de conexión, que se manifiestan como retrasos en el procesamiento de las comunicaciones, pérdida de función que requiere un reinicio y acciones retrasadas a los comentarios del operador como signos de posible actividad maliciosa.
- Supervise los sistemas para la carga de controladores inusuales, especialmente para el controlador ASRock si normalmente no se utiliza ningún controlador ASRock en el sistema.
Más información
Herramientas cibernéticas APT dirigidas a dispositivos ICS / SCADA | CISA

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.