Es posible que los ciberataques dirigidos al sector energético en Dinamarca el año pasado no hayan contado con la participación del grupo de hackers Sandworm, vinculado a Rusia, según muestran nuevos hallazgos.
Las intrusiones, que se dirigieron a unas 22 organizaciones energéticas danesas en mayo de 2023, se produjeron en dos oleadas distintas: una que aprovechó una falla de seguridad en el firewall Zyxel (CVE-2023-28771) y un grupo de actividades de seguimiento en el que los atacantes implementaron la botnet Mirai. variantes en huéspedes infectados a través de un vector de acceso inicial aún desconocido.
La primera ola tuvo lugar el 11 de mayo, mientras que la segunda ola duró del 22 al 31 de mayo de 2023. En uno de esos ataques detectado el 24 de mayo, se observó que el sistema comprometido se comunicaba con direcciones IP (217.57.80[.] 18 y 70.62.153[.]174) que anteriormente se utilizaban como comando y control (C2) para la botnet Cyclops Blink, ahora desmantelada.
Te podrá interesar leer: GoTitan Botnet: Un nuevo actor en el ciberespacio
Sin embargo, un examen más detenido de la campaña de ataque ha revelado que no sólo las dos oleadas no estaban relacionadas, sino que también era poco probable que el trabajo del grupo patrocinado por el estado se debiera al hecho de que la segunda oleada era parte de una campaña de explotación masiva más amplia contra Zyxel sin parches. Actualmente no se sabe quién está detrás de los dos ataques.
"La campaña descrita como la 'segunda ola' de ataques contra Dinamarca, comenzó antes y continuó después [del período de 10 días], apuntando a firewalls indiscriminadamente de una manera muy similar, sólo cambiando los servidores de prueba periódicamente", dijo una compañía de ciberseguridad en un informe acertadamente titulado "Despejando la niebla de la guerra".
Hay evidencia que sugiere que los ataques pueden haber comenzado ya el 16 de febrero utilizando otras fallas conocidas en los dispositivos Zyxel (CVE-2020-9054 y CVE-2022-30525) junto con CVE-2023-28771, y persistieron hasta octubre de 2023, con la actividad destacando varias entidades en Europa y EE. UU.
Podría interesarte leer: Identificando vulnerabilidades: El poder de las CVE
La ciberseguridad desempeña un papel fundamental en el sector energético debido a la creciente dependencia de las tecnologías de la información y la comunicación en la operación y gestión de infraestructuras críticas. Aquí se destacan algunas de las razones clave por las cuales la ciberseguridad es de vital importancia en este sector:
Protección de infraestructuras críticas: El sector energético incluye una amplia gama de infraestructuras críticas, como plantas de energía, redes eléctricas, refinerías de petróleo y gas, que son fundamentales para el funcionamiento de la sociedad y la economía. Un ciberataque exitoso podría causar interrupciones graves en la producción y distribución de energía, con repercusiones en la vida cotidiana de las personas y en la economía en general.
Amenazas en constante evolución: Los ciberataques están en constante evolución, y los actores maliciosos buscan aprovechar las vulnerabilidades en sistemas de control industrial, sistemas SCADA y tecnologías de automatización. Esto hace que sea esencial mantenerse al tanto de las últimas amenazas y adoptar medidas de seguridad actualizadas.
Protección de datos confidenciales: El sector energético maneja grandes cantidades de datos confidenciales, desde información sobre la producción y distribución de energía hasta datos financieros y de los clientes. La pérdida o exposición de estos datos puede tener consecuencias graves en términos de privacidad y cumplimiento normativo.
Mantenimiento de la confianza del público: Los consumidores y la sociedad en general confían en que el sector energético garantizará un suministro seguro y confiable de energía. Los ciberataques exitosos pueden erosionar la confianza del público en las empresas energéticas y en el gobierno, lo que puede tener un impacto duradero en la reputación de la industria.
Preparación para eventos adversos: La ciberseguridad en el sector energético es esencial para garantizar la continuidad del negocio en caso de eventos adversos, como desastres naturales o incidentes cibernéticos. La resiliencia cibernética es crucial para minimizar el impacto de tales eventos.
Cumplimiento normativo: En muchos países, existen regulaciones específicas que requieren que las empresas del sector energético cumplan con ciertos estándares de ciberseguridad. El incumplimiento puede resultar en sanciones financieras y legales.
Protección contra el espionaje industrial y el sabotaje: En un mundo altamente competitivo, las empresas del sector energético pueden ser blanco de espionaje industrial y sabotaje por parte de competidores u otros actores maliciosos. La ciberseguridad es esencial para proteger la propiedad intelectual y las operaciones de la empresa.
Podría interesarte: Seguridad en la Industria de la Energía con Azure Sentinel
En resumen, los nuevos hallazgos en ciberseguridad relacionados con los ciberataques en el sector energético de Dinamarca el año pasado han planteado dudas sobre la atribución de estos ataques al grupo de hackers Sandworm vinculado a Rusia. Estos hallazgos muestran que las intrusiones en el sector energético danés ocurrieron en dos oleadas separadas y que es poco probable que estén relacionadas con el trabajo de Sandworm. Además, se ha destacado que la segunda oleada de ataques formaba parte de una campaña de explotación más amplia contra cortafuegos Zyxel sin parches.
En este contexto, la ciberseguridad en el sector energético se vuelve crucial, ya que protege infraestructuras críticas, datos confidenciales y la confianza del público, y es esencial para garantizar la continuidad de operaciones y cumplir con las regulaciones. En un entorno en constante evolución, la resiliencia cibernética y la preparación son fundamentales para enfrentar las amenazas cibernéticas en este sector vital.