Aunque no deja de ser un malware, calificar a CrashOverride como tal no deja de parecer un eufemismo debido a su potencial: cortar redes eléctricas por completo. Por ello, el calificativo de ciberarma parece encajarle mejor, sobre todo cuando, según investigadores estadounidense, ha sido desarrollado por hackers aliados con el gobierno ruso.
Por el momento, CrashOverride solo ha sido utilizado una vez, y fue usado contra la red de energía de Ucrania. Entonces, los hackers consiguieron apagar una quinta parte de la electricidad generada en Kiev. Sin embargo, con modificaciones, podría desplegarse contra los sistemas de transmisión y distribución eléctrica de los Estados Unidos con un efecto devastador.
Esta última afirmación fue hecha por Sergio Caltagirone, director de inteligencia de amenazas de Dragos, una empresa de ciberseguridad que estudió el malware y publicó un informe sobre él. Algo inquietante para el país del norte, sobre todo ahora que se están investigando los esfuerzos rusos por interferir en la última elección presidencial.
Electrum es el nombre que le han dado desde Dragos al grupo que ha creado este malware y han conseguido determinar con un alto nivel de fiabilidad que usaron los mismos sistemas informáticos que los hackers que atacaron la red eléctrica ucraniana en 2015. Aquel ataque, que dejó a 225 mil clientes sin energía, fue realizado por hackers del gobierno ruso. O al menos eso dicen otros investigadores de Estados Unidos, aunque oficialmente nunca se le atribuyó el ataque a Rusia.
Según el analista John Hultquist, el grupo que se encargó de realizar un ataque contra los sistemas de control industriales de EE. UU. en 2014, fue el mismo que «apagó la luz» en Ucrania en 2015. Su equipo lo llamó Sandworm y, según ellos, está relacionado con el gobierno ruso, aunque no saben si trabajando como contratistas o integrado por personal oficial.
Todavía no se sabe a ciencia cierta si Sandworm y Electrum son el mismo grupo o son dos grupos diferentes trabajando para la misma organización, según explicó Robert M. Lee, director ejecutivo de Dragos. Pero de lo que sí se tiene evidencia forense es de que están relacionados entre ellos.
Qué puede hacer CrashOverride
Las muestras de CrashOverride fueron obtenidas por primera vez por la conocida empresa de seguridad ESET. Ellos apodaron a este malware como Industroyer. Más tarde, compartió algunas de estas muestras con Dragos.
Según explicaron desde Dragos, CrashOverride es como una navaja suiza: cuenta con varias herramientas entre las que seleccionar para lograr diferentes efectos y se le pueden agregar otras más. Más que un malware en particular, estaríamos hablando de una especie de framework.
Teóricamente, el malware se puede modificar para atacar diferentes tipos de sistemas de control industriales, tales como agua y gas. Pero por el momento no se han llegado a encontrar pruebas tangibles de que se haya alcanzado ese nivel de sofisticación.
Una de las herramientas más insidiosas de CrashOverride manipula los ajustes en sistemas de control de energía eléctrica. Analiza los componentes críticos que operan los interruptores automáticos y los abre, lo que detiene el flujo de electricidad. Sigue manteniéndolos abiertos incluso si un operador de red intenta cerrarlos. Así, consigue crear un apagón sostenido en el tiempo.
El malware también tiene un componente que borra el software del sistema informático que controla los disyuntores, obligando al operador de la red a volver a las operaciones manuales, lo que significa redirigir a la subestación para restaurar la energía. Además, los atacantes pueden apuntar a múltiples ubicaciones con una funcionalidad de «bomba de relojería» y establecer el malware para dispararse simultáneamente y así crear interrupciones en diferentes áreas al mismo tiempo.
Ahora bien, a pesar de toda su capacidad, según explicó el director de Dragos, las interrupciones de servicio eléctrico que lograsen realizar los atacantes tan solo durarían horas. A lo sumo, no más de un par de días. Esto se debe a que la industria eléctrica estadounidense ha capacitado a sus operadores para manejar las interrupciones causadas por las grandes tormentas y están acostumbrados a tener que restaurar la energía con operaciones manuales.
Pero aunque no se trate de un escenario tipo «juicio final» para Estados Unidos, resulta inquietante saber que existe una herramienta tan poderosa en manos, presuntamente, de un gobierno. En el caso de otros países, un ataque de este tipo podría resultar realmente devastador.
