Industroyer 2: el malware para OT se refina

Industroyer2 es la última evolución del conocido malware que fue desplegado por primera vez por Sandworm en Ucrania en 2016. Según lo documentado por ESET fue utilizado en el contexto de una operación más amplia contra organizaciones ucranianas en 2022.

En 2016 Industroyer contaba con componentes dirigidos a múltiples protocolos de sistemas de control industrial (ICS), en concreto:

• IEC 60870-5-101,
• IEC 60870-5-104,
• IEC 61850,
• OPC DA.

Sin embargo, Industroyer2 se centra únicamente en la norma IEC 60870-5-104 (IEC 60870-5-104, que no es más que una actualización del componente Industroyer centrada en el mismo protocolo. Esta observación lleva a creer que, en función de los requisitos operativos la implementación de estos protocolos ICS por parte de los actores de la amenaza forma parte de un marco más amplio de capacidades que se selectivamente en un producto específico.

Nozomi Networks ha realizado un análisis que compara Industroyer «v1» con Industroyer2 «v2» y revela cómo los actores de amenazas están actualizando activamente un malware potente para cumplir con los requisitos operativos. Además, concluye que los actores de amenazas sofisticadas no solo tienen una mejor comprensión de los entornos OT, sino que también pueden crear cargas útiles personalizadas para apuntar a dispositivos específicos y causar un efecto ciberfísico.

Roya Gordon, OT/IoT Security Research Evangelist, Nozomi Networks Labs comenta: “Lo más preocupante es que los actores de amenazas tienen la capacidad de usar la versión original del malware Industroyer para crear variantes que se dirijan específicamente a otros protocolos IEC como: IEC 60870-5-101, IEC 61850 y OPC DA. Esto significa que es posible que los actores de amenazas desarrollen otras variantes de Industroyer en el futuro”.

La conclusión para los equipos de seguridad es que los actores de las amenazas avanzadas están refinando continuamente sus capacidades OT para adaptarse a diferentes escenarios operativos. En el actual panorama de amenazas es primordial detectar y responder a los atacantes sofisticados antes de que lleguen al sistema OT: su capacidad para analizar el entorno objetivo y modificar su estado se demostró una vez más con Industroyer2.

Desde Nozomi Networks, además de practicar la higiene cibernética básica, alentamos a la comunidad OT a:

• Implementar una herramienta de inventario/descubrimiento de activos que pueda administrar sus sistemas de control y notificar sobre ataques y vulnerabilidades asociados.
• Utilizar las reglas de YARA para buscar y generar alertas sobre el malware Industroyer v1 y v2.
• Usar herramientas de detección de anomalías y utilice cortafuegos automatizados junto con una herramienta de detección de anomalías para detener más comandos de ataque.
• Realizar búsquedas periódicas de amenazas para detectar actividades sospechosas en sus redes.