Is Stuxnet back? or did it never leave?

  • Por: SIGA Team | LoyalShield Team

Revelando el resurgimiento del malware basado en la web para PLC y la necesidad imperativa de monitoreo en Nivel 0 en Ciberseguridad Industrial

En el dinámico entorno de las amenazas cibernéticas en constante evolución, investigadores de Georgia Tech han descubierto recientemente un posible cambio de juego: Un tipo de malware basado en la web al estilo Stuxnet, diseñado específicamente para atacar dirigido a PLC´s (Controladores Lógicos Programables). Aunque el concepto pueda sonar familiar debido al conocido ataque de Stuxnet en el pasado, este nuevo hallazgo debería generar preocupación. La razón radica en que la industria aún no ha desarrollado completamente las herramientas necesarias para abordar este tipo único de malware, que solo se volvió más fuerte y sofisticado con el tiempo. Esto debería motivar a la industria a reconsiderar sus estrategias de ciberseguridad industrial para mantenerse a la vanguardia. Es crucial implementar medidas que también aborden los riesgos que suelen pasarse por alto, como los datos falsos generados por sensores de proceso, enfatizando aún más la necesidad crítica de un monitoreo robusto en el Nivel 0.

Dentro del artículo se expone descubrimientos de investigación que revelan una nueva generación de amenazas cibernéticas capaces de infiltrarse en sistemas de infraestructura crítica a través de ataques basados en la web a PLCs. Estas amenazas, comparables al notorio malware Stuxnet, tienen la capacidad de inyectar datos falsos en la red de OT, cegando a los operadores respecto al estado real de las máquinas, al tiempo que causan interrupciones significativas en el proceso industrial. Los investigadores de Georgia Tech indican que el malware es sofisticado no solo debido a sus capacidades para causar daño físico, sino también por lo fácil que puede ser desplegado (los atacantes pueden acceder a través de una aplicación de red sin necesidad de estar presentes físicamente ni tener privilegios de acceso), y la forma en que este malware puede “reconfigurarse” en caso de ser descubierto mediante el restablecimiento de controladores o reemplazo de hardware. Por otro lado, en su más reciente publicación, el experto de la industria Joe Weiss resalta las graves consecuencias potenciales de la manipulación de datos de sensores de proceso para diversos sectores de infraestructura crítica, desde energía, petróleo y gas hasta manufactura, energía nuclear e hidroeléctrica.

Las medidas tradicionales de ciberseguridad industrial a menudo se centran en la seguridad de la red de niveles superiores, pero la aparición de malware basado en la web para PLCs enfatiza la importancia de reforzar las defensas en el Nivel 0. En el contexto de los sistemas de control industrial, el Nivel 0 abarca el proceso físico junto con sus sensores y actuadores.

En el entorno industrial actual, confiamos en que los datos provenientes de los sensores sean los “ojos y oídos” de nuestro estado de proceso, como señala Weiss. Sin embargo, asumir que estos datos son confiables y autenticados no siempre es cierto. Este malware, ya sea antiguo o reciente, resalta la necesidad crítica de implementar la autenticación de datos de sensores para detectar y contrarrestar estos ataques sofisticados desde su origen.

El monitoreo en Nivel 0 se refiere a la vigilancia en tiempo real de los procesos físicos desde su origen, comenzando desde el núcleo de los datos, los sensores y actuadores, que alimentan todo el sistema SCADA con datos de proceso. Estos datos son fundamentales para la toma de decisiones automáticas y manuales por parte de los sistemas de control e ingenieros. La precisión y confiabilidad de estos datos son críticas, ya que cualquier información incorrecta podría llevar a decisiones erróneas y acciones operativas desacertadas, con posibles consecuencias catastróficas.

Por ello, el monitoreo en Nivel 0 es importante para garantizar la detección temprana de anomalías y amenazas cibernéticas potenciales relacionadas con datos de proceso maliciosos o incorrectos. Al implementar soluciones avanzadas de monitoreo en este nivel, las industrias pueden validar de forma proactiva la integridad de sus datos comparándolos con el estado real de sus datos de sensores. Esto permite a los operadores identificar y neutralizar actividades maliciosas, previniendo consecuencias catastróficas.

En conclusión, el descubrimiento del malware basado en la web para PLCs al estilo Stuxnet sirve como una advertencia para el sector industrial, destacando la importancia de invertir en tecnologías mucho más avanzadas. 

A medida que el panorama digital continúa evolucionando, es crucial redefinir y fortalecer las estrategias de ciberseguridad. Elevar el enfoque en el monitoreo en Nivel 0, abarcando diversas amenazas cibernéticas como la inyección de datos falsos y los ataques de ransomware, no es solo precaución, sino una necesidad para proteger la infraestructura crítica de los ataques cibernéticos avanzados. Las industrias deben adaptarse rápidamente, invirtiendo en medidas proactivas de ciberseguridad para garantizar la seguridad de los procesos industriales en un mundo cada vez más conectado. Además, es crucial tener en cuenta que a menudo, el remake de un malware puede ser aún más peligroso que el original.

Picture of Admin
Admin

Position

Search

Categories

Recent blogs