Cómo una nación entera se convirtió en el laboratorio de pruebas de Rusia para la guerra cibernética
Andy Greenberg. WIRED.
Los relojes decían cero cuando se apagaban las luces.
Era una noche de sábado, en diciembre pasado, y Oleksii Yasinsky estaba sentado en el sofá con su esposa y su hijo adolescente en la sala de su apartamento de Kiev. El investigador ucraniano de ciberseguridad de 40 años y su familia estuvieron a una hora de la película de Oliver Stone, Snowden, cuando su edificio perdió el poder abruptamente.
"Los hackers no quieren que terminemos la película", bromeó la esposa de Yasinsky. Se refería a un evento que había ocurrido un año antes, un ataque cibernético que había cortado la electricidad a casi un cuarto de millón de ucranianos dos días antes de Navidad en 2015. Yasinsky, analista forense jefe de una firma de seguridad digital de Kiev, no se rió. Miró a un reloj portátil en su escritorio: eran las 00:00. Precisamente la medianoche.
La televisión de Yasinsky estaba enchufada a un protector contra sobrecargas con una batería de respaldo, por lo que solo el parpadeo de las imágenes en la pantalla iluminó la habitación ahora. La regleta comenzó a sonar de forma lastimera. Yasinsky se levantó y lo apagó para salvar su carga, dejando la habitación repentinamente en silencio.
Fue a la cocina, sacó un puñado de velas y las encendió. Luego se acercó a la ventana de la cocina. El ingeniero delgado y rubio rojizo contempló una vista de la ciudad como nunca la había visto antes: todo el horizonte alrededor del edificio de su apartamento estaba oscuro. Solo el brillo gris de las luces distantes se reflejó en el cielo nublado, delineando los ennegrecidos cascos de los modernos condominios y los rascacielos soviéticos.
Al notar la hora exacta y la fecha, casi exactamente un año desde el ataque de cuadrícula de diciembre de 2015, Yasinsky se sintió seguro de que esto no era un apagón normal. Pensó en el frío exterior, cerca de cero grados Fahrenheit, las temperaturas que se hundían lentamente en miles de hogares y la cuenta regresiva hasta que las bombas de agua muerta conducían a tuberías congeladas.
Fue entonces cuando otro pensamiento paranoico comenzó a abrirse camino por su mente: durante los últimos 14 meses, Yasinsky se había encontrado en el centro de una crisis envolvente. Una creciente lista de compañías ucranianas y agencias gubernamentales acudió a él para analizar una plaga de ataques cibernéticos que los golpeaban en una sucesión rápida y sin remordimientos. Un solo grupo de hackers parecía estar detrás de todo esto. Ahora no podía reprimir la sensación de que esos mismos fantasmas, cuyas huellas digitales había rastreado durante más de un año, habían regresado, a través del éter de Internet, a su casa.
El Cyber-Cassandras dijo que esto sucedería. Durante décadas, advirtieron que los piratas informáticos pronto darían el salto más allá del caos puramente digital y comenzarían a causar daños físicos reales al mundo. En 2009, cuando el malware Stuxnet de la NSA aceleró en silencio unos cientos de centrifugadoras nucleares iraníes hasta que se destruyeron, parecía ofrecer una vista previa de esta nueva era. "Esto tiene un olor a agosto de 1945", dijo Michael Hayden, ex director de la NSA y la CIA, en un discurso. "Alguien acaba de usar una nueva arma, y esta arma no se volverá a poner en la caja".
Ahora, en Ucrania, el escenario de la guerra cibernética por excelencia ha cobrado vida. Dos veces. En ocasiones separadas, los saboteadores invisibles han desconectado la electricidad a cientos de miles de personas. Cada apagón duró una cuestión de horas, solo mientras los ingenieros en aprovisionamiento volvieran a encender la alimentación manualmente. Pero como pruebas de concepto, los ataques sentaron un nuevo precedente: a la sombra de Rusia, la pesadilla de los piratas informáticos de hace décadas que detuvo los cambios de la sociedad moderna se ha convertido en una realidad.
Y los apagones no fueron solo ataques aislados. Formaron parte de un blitzkrieg digital que ha golpeado a Ucrania durante los últimos tres años, un ataque cibernético sostenido como ningún otro que haya visto el mundo. Un ejército de hackers ha socavado sistemáticamente prácticamente todos los sectores de Ucrania: medios de comunicación, finanzas, transporte, militares, política, energía. Ola tras ola de intrusiones han eliminado datos, destruido computadoras y, en algunos casos, han paralizado las funciones más básicas de las organizaciones. "Realmente no puedes encontrar un espacio en Ucrania donde no haya habido un ataque", dice Kenneth Geers, un embajador de la OTAN que se enfoca en la seguridad cibernética.
En una declaración pública realizada en diciembre, el presidente de Ucrania, Petro Poroshenko, informó que se habían producido 6.500 ataques cibernéticos a 36 objetivos de Ucrania en los dos meses anteriores. Los analistas de seguridad cibernética internacional han dejado de atribuir de manera concluyente estos ataques al Kremlin, pero Poroshenko no dudó: las investigaciones de Ucrania, dijo, apuntan a la "participación directa o indirecta de los servicios secretos de Rusia, que han desatado una guerra cibernética contra nuestra país ”. (El Ministerio de Relaciones Exteriores de Rusia no respondió a múltiples solicitudes de comentarios).
Para captar la importancia de estos asaltos, y, en realidad, para digerir gran parte de lo que está ocurriendo en el trastorno geopolítico más grande de hoy en día, ayuda a comprender la relación abusiva de Rusia con su vecino más grande en el oeste. Moscú siempre ha considerado a Ucrania como una parte legítima del imperio de Rusia y un importante activo territorial: un amortiguador estratégico entre Rusia y los poderes de la OTAN, una lucrativa ruta de ducto hacia Europa y el hogar de uno de los pocos puertos de agua caliente accesibles de Rusia. Por todas esas razones, Moscú ha trabajado durante generaciones para mantener a Ucrania en la posición de un hermano menor sumiso.
Pero durante la última década y media, la correa de Moscú en Ucrania se ha desgastado, a medida que el apoyo popular en el país se ha dirigido hacia la OTAN y la Unión Europea. En 2004, las multitudes ucranianas con bufandas anaranjadas inundaron las calles para protestar por la manipulación de las elecciones del país en Moscú; ese año, los agentes rusos supuestamente fueron tan lejos como para envenenar al candidato presidencial pro-occidental Viktor Yushchenko. Una década más tarde, la revolución ucraniana de 2014 finalmente derrocó al presidente del país respaldado por el Kremlin, Viktor Yanukovych (un líder cuyo asesor político de larga data, Paul Manafort, dirigirá la campaña presidencial de Donald Trump en los Estados Unidos). Las tropas rusas rápidamente se anexaron a la Península de Crimea en el sur e invadieron la región oriental de habla rusa conocida como Donbass. Desde entonces, Ucrania ha estado atrapada en una guerra no declarada con Rusia, una que ha desplazado a casi 2 millones de refugiados internos y ha matado a cerca de 10.000 ucranianos.
“Rusia nunca aceptará una Ucrania soberana e independiente. Veinticinco años después del colapso soviético, Rusia todavía está enferma con este síndrome imperialista ".
Desde el principio, uno de los principales frentes de esta guerra ha sido el digital. Antes de las elecciones de 2014 posteriores a la revolución de Ucrania, un grupo pro ruso llamado CyberBerkut, una entidad con vínculos con los piratas informáticos del Kremlin que más tarde violaron los objetivos demócratas en las elecciones presidenciales de Estados Unidos de 2016, manipuló el sitio web de la Comisión Electoral Central del país para anunciar el ultra El candidato presidencial derecho Dmytro Yarosh como ganador. Los administradores detectaron la manipulación menos de una hora antes de que se establecieran los resultados de las elecciones. Y ese ataque fue solo un preludio del experimento más ambicioso de Rusia en la guerra digital, el aluvión de ataques cibernéticos que comenzó a acelerarse en el otoño de 2015 y no ha cesado desde entonces.
Yushchenko, quien terminó como presidente de Ucrania de 2005 a 2010, cree que las tácticas de Rusia, en línea y fuera de línea, tienen un solo objetivo: "desestabilizar la situación en Ucrania, hacer que su gobierno se vea incompetente y vulnerable". y otros ataques cibernéticos, junto con la desinformación rusa que inundó los medios de Ucrania, las campañas terroristas en el este del país y su propia intoxicación hace años, todos ellos movimientos descabellados destinados a pintar a Ucrania como una nación rota. "Rusia nunca aceptará que Ucrania sea un país soberano e independiente", dice Yushchenko, cuya cara aún tiene rastros de las cicatrices causadas por la toxicidad de la dioxina. "Veinticinco años después del colapso soviético, Rusia todavía está enferma con este síndrome imperialista".
Pero muchos analistas de ciberseguridad global tienen una teoría mucho más amplia sobre el final de la epidemia de piratería de Ucrania: creen que Rusia está utilizando al país como campo de pruebas de la guerra cibernética, un laboratorio para perfeccionar nuevas formas de combate global en línea. Y los explosivos digitales que Rusia ha puesto en marcha repetidamente en Ucrania son los que plantó al menos una vez en la infraestructura civil de los Estados Unidos.
Un domingo por la mañana, en octubre de 2015, más de un año antes de que Yasinsky mirara por la ventana de su cocina a un horizonte oscuro, se sentó cerca de la misma ventana bebiendo té y comiendo un tazón de copos de maíz. Su teléfono sonó con una llamada del trabajo. Luego se desempeñaba como director de seguridad de la información en StarLightMedia, el mayor conglomerado de radiodifusión de televisión de Ucrania. Durante la noche, dos de los servidores de StarLight se habían desconectado inexplicablemente. El administrador de TI en el teléfono le aseguró que los servidores ya se habían restaurado desde las copias de seguridad.
Pero Yasinsky se sintió incómodo. Las dos máquinas se habían oscurecido casi en el mismo minuto. "Un servidor se cae, sucede", dice Yasinsky. "Pero dos servidores al mismo tiempo? Eso es sospechoso."
Renunció a un fin de semana perdido, salió de su apartamento y tomó el viaje en metro de 40 minutos a la oficina de StarLightMedia. Cuando llegó allí, Yasinsky y los administradores de TI de la compañía examinaron la imagen que habían conservado de uno de los servidores dañados. Su registro de inicio maestro, la parte profunda del cerebro de reptil del disco duro de una computadora que le indica a la máquina dónde encontrar su propio sistema operativo, se ha sobrescrito con ceros. Esto fue especialmente preocupante, dado que los dos servidores víctimas eran controladores de dominio, computadoras con poderosos privilegios que podían usarse para acceder a cientos de otras máquinas en la red corporativa.
Yasinsky imprimió el código y dejó los papeles sobre la mesa de la cocina y el piso. Había estado en seguridad de la información durante 20 años, pero nunca había analizado un arma digital tan refinada.
Yasinsky descubrió rápidamente que el ataque era mucho peor de lo que parecía: los dos servidores dañados habían colocado malware en las computadoras portátiles de 13 empleados de StarLight. La infección provocó la misma técnica de sobrescritura de registro de arranque para bloquear las máquinas justo cuando los empleados trabajaban para preparar un boletín matutino de noticias de televisión antes de las elecciones locales del país.
Sin embargo, Yasinsky podía ver que había tenido suerte. Mirando los registros de la red de StarLight, parecía que los controladores de dominio se habían suicidado prematuramente. De hecho, se habían configurado para infectar y destruir 200 PC más en la compañía. Pronto, Yasinsky escuchó de una firma de medios de competencia llamada TRK que había sido menos afortunada: esa compañía perdió más de cien computadoras en un ataque idéntico.
Yasinsky logró extraer una copia del programa destructivo de la red de StarLight. De vuelta en casa, estudió detenidamente su código. Se sorprendió por las capas de la astuta ofuscación: el malware había evitado todos los análisis antivirus e incluso se había hecho pasar por un antivirus, el Windows Defender de Microsoft. Después de que su familia se fue a dormir, Yasinsky imprimió el código y colocó los papeles sobre la mesa y el piso de su cocina, cruzando las líneas de personajes de camuflaje y resaltando los comandos para ver su verdadera forma. Yasinsky había estado trabajando en seguridad de la información durante 20 años; él había manejado redes masivas y había combatido a equipos de hackers sofisticados antes. Pero nunca había analizado un arma digital tan refinada.
“Con cada paso adelante, se hizo más claro que nuestro Titanic había encontrado su iceberg. Cuanto más mirábamos, más grande era ”.
Debajo de todo el encubrimiento y la mala dirección, Yasinsky descubrió que había una pieza de malware conocida como KillDisk, un parásito destructor de datos que había estado circulando entre los hackers durante aproximadamente una década. Para entender cómo se incorporó a su sistema, Yasinsky y dos colegas de StarLight excavaron obsesivamente en los registros de la red de la compañía, y los peinaron una y otra vez durante las noches y los fines de semana. Al rastrear los signos de las huellas dactilares de los piratas informáticos (algunas cuentas corporativas comprometidas de YouTube, el inicio de sesión de un administrador que se mantuvo activo incluso cuando estaba enfermo), se dieron cuenta de que los intrusos habían estado dentro de su sistema durante más de seis meses. Finalmente, Yasinsky identificó la pieza de malware que había servido como punto de apoyo inicial de los hackers: un troyano de uso múltiple conocido como BlackEnergy.
Pronto, Yasinsky comenzó a escuchar a colegas de otras compañías y al gobierno que ellos también habían sido pirateados, y casi de la misma manera. Un ataque golpeó a Ukrzaliznytsia, la compañía ferroviaria más grande de Ucrania. Otros objetivos le pidieron a Yasinsky que mantuviera en secreto sus brechas. Una y otra vez, los piratas informáticos utilizaron BlackEnergy para el acceso y el reconocimiento, y luego KillDisk para la destrucción. Sus motivos seguían siendo un enigma, pero sus marcas estaban en todas partes.
"Con cada paso adelante, se hizo más claro que nuestro Titanic había encontrado su iceberg", dice Yasinsky. "Cuanto más profundo mirábamos, más grande era".
Incluso entonces, Yasinsky no sabía las dimensiones reales de la amenaza. No tenía idea, por ejemplo, de que para diciembre de 2015, BlackEnergy y KillDisk también estuvieran alojados dentro de los sistemas informáticos de al menos tres de las principales compañías eléctricas ucranianas, que esperaban.
Al principio, Robert Lee culpó a las ardillas.
Era la víspera de Navidad de 2015, y también, así fue, el día antes de que Lee se casara en su ciudad natal de Cullman, Alabama. Lee, que era un pelirrojo con barba y barba, recientemente había dejado un trabajo de alto nivel en una agencia de inteligencia de tres letras de Estados Unidos, donde se había centrado en la ciberseguridad de la infraestructura crítica. Ahora se estaba preparando para lanzar su propia startup de seguridad y casarse con la novia holandesa que había conocido en el extranjero.
Mientras Lee se ocupaba de los preparativos para la boda, vio titulares de noticias que decían que los piratas informáticos acababan de derribar una red eléctrica en el oeste de Ucrania. Una franja significativa del país aparentemente se había oscurecido durante seis horas. Lee hizo explotar la historia: tenía otras cosas en mente, y había escuchado afirmaciones falsas de redes hackeadas muchas veces antes. La causa generalmente era un roedor o un ave; la idea de que las ardillas representaban una amenaza mayor para la red eléctrica que los piratas informáticos se habían convertido en una broma en la industria.
Sin embargo, al día siguiente, justo antes de la boda, Lee recibió un mensaje sobre el supuesto ataque cibernético de Mike Assante, un investigador de seguridad del Instituto SANS, un centro de capacitación de seguridad cibernética de élite. Eso llamó la atención de Lee: cuando se trata de amenazas digitales para redes eléctricas, Assante es uno de los expertos más respetados del mundo. Y le estaba diciendo a Lee que el hack del apagón de Ucrania se parecía a lo real.
Los piratas informáticos se habían extendido a través de las redes de las compañías eléctricas y eventualmente comprometieron una VPN utilizada para el acceso remoto.
Justo después de que Lee dijo sus votos y besó a su novia, un contacto en Ucrania también le envió un mensaje: el corte del apagón fue real, dijo el hombre, y necesitaba la ayuda de Lee. Para Lee, que había pasado su carrera preparándose para ataques cibernéticos de infraestructura, había llegado el momento que había anticipado durante años. Así que abandonó su propia recepción y comenzó a enviar un mensaje de texto a Assante en un lugar tranquilo, todavía con su traje de boda.
Lee finalmente se retiró a la computadora de escritorio de su madre en la casa de sus padres cerca. Trabajando conjuntamente con Assante, que estaba en la fiesta de Navidad de un amigo en una zona rural de Idaho, sacaron mapas de Ucrania y un gráfico de su red eléctrica. Las subestaciones de las tres compañías eléctricas que habían sido afectadas se encontraban en diferentes regiones del país, a cientos de millas de distancia entre sí y sin conexión. "Esto no era una ardilla", concluyó Lee con una emoción oscura.
Para esa noche, Lee estaba ocupado diseccionando el malware KillDisk que su contacto ucraniano le había enviado desde las compañías eléctricas pirateadas, como lo había hecho Yasinsky después de la piratería de StarLightMedia meses antes. ("Tengo una esposa muy paciente", dice Lee.) En unos días, recibió una muestra del código BlackEnergy y datos forenses de los ataques. Lee vio cómo había comenzado la intrusión con un correo electrónico de suplantación de identidad que suplantaba un mensaje del parlamento ucraniano. Un adjunto malicioso de Word había ejecutado silenciosamente un script en las máquinas de las víctimas, plantando la infección BlackEnergy. Desde ese punto de vista, parecía que los piratas informáticos se habían extendido a través de las redes de las compañías eléctricas y, finalmente, habían comprometido una VPN que las empresas habían utilizado para el acceso remoto a su red, incluido el software de control industrial altamente especializado que les da a los operadores el control remoto de equipos como interruptores automáticos. .
El mismo grupo que apagó las luces de casi un cuarto de millón de ucranianos había infectado a las empresas eléctricas estadounidenses con el mismo malware.
Al observar los métodos de los atacantes, Lee comenzó a formarse una idea de a quién se enfrentaba. Le sorprendieron las similitudes entre las tácticas de los piratas informáticos y las de un grupo que recientemente había ganado cierta notoriedad en el mundo de la ciberseguridad, un grupo conocido como Sandworm. En 2014, la firma de seguridad FireEye emitió advertencias sobre un equipo de piratas informáticos que estaba plantando malware BlackEnergy en objetivos que incluían firmas polacas de energía y agencias gubernamentales ucranianas; El grupo parecía estar desarrollando métodos para apuntar a las arquitecturas informáticas especializadas que se utilizan para la gestión remota de equipos industriales físicos. El nombre del grupo proviene de referencias a Dune que se encuentran enterradas en su código, términos como Harkonnen y Arrakis, un planeta árido en la novela donde enormes gusanos de arena vagan por los desiertos.
Nadie sabía mucho sobre las intenciones del grupo. Pero todas las señales indicaban que los hackers eran rusos: FireEye había rastreado una de las técnicas de intrusión distintivas de Sandworm en una presentación en una conferencia de hackers rusos. Y cuando los ingenieros de FireEye lograron acceder a uno de los servidores no seguros de comando y control de Sandworm, encontraron instrucciones sobre cómo usar BlackEnergy escrito en ruso, junto con otros archivos en idioma ruso.
Lo más preocupante de todo para los analistas estadounidenses, los objetivos de Sandworm se extendieron a través del Atlántico. A principios de 2014, el gobierno de los EE. UU. informó que los piratas informáticos habían plantado BlackEnergy en las redes de los servicios de energía y agua de Estados Unidos. A partir de los hallazgos del gobierno, FireEye también pudo identificar esas intrusiones en Sandworm.
Para Lee, las piezas se juntaron: parecía que el mismo grupo que acababa de apagar las luces para casi un cuarto de millón de ucranianos no había infectado las computadoras de las empresas eléctricas estadounidenses con el mismo malware.
Habían pasado solo unos pocos días desde el apagón navideño, y Assante pensó que era demasiado pronto para comenzar a culpar del ataque a un grupo de hackers en particular, sin mencionar a un gobierno. Pero en la mente de Lee, las alarmas se dispararon. El ataque a Ucrania representó algo más que un lejano estudio de caso extranjero. "Un adversario que ya había atacado a las empresas de servicios energéticos estadounidenses había cruzado la línea y derribado una red eléctrica", dice Lee. "Fue una amenaza inminente para los Estados Unidos".
En un día frío y brillante, unas semanas después, un equipo de estadounidenses llegó a Kiev. Se reunieron en el Hyatt, a una cuadra de la catedral de Santa Sofía, con cúpulas doradas. Entre ellos se encontraban personal del FBI, el Departamento de Energía, el Departamento de Seguridad Nacional y la North American Electric Reliability Corporation, el organismo responsable de la estabilidad de la red de EE. UU., todos ellos parte de una delegación que había sido asignada para llegar a El fondo del apagón ucraniano.
Los federales también habían llevado a Assante desde Wyoming. Lee, una cabeza más sexy que su amigo, había luchado con las agencias estadounidenses por su inclinación por el secreto, insistiendo en que los detalles del ataque debían ser publicados de inmediato. No había sido invitado.
En ese primer día, los trajes se reunieron en una sala de conferencias de hotel estéril con el personal de Kyivoblenergo, la compañía de distribución de energía regional de la ciudad y una de las tres víctimas de los ataques a la red eléctrica. Durante las siguientes horas, los ejecutivos e ingenieros estoicos de la compañía ucraniana expusieron paso a paso una incursión exhaustiva y casi tortuosa en su red.
"El mensaje fue: 'Te voy a hacer sentir esto en todas partes'. Estos atacantes deben haber parecido que eran dioses".
Como Lee y Assante se habían dado cuenta, el malware que infectaba a las compañías de energía no contenía ningún comando capaz de controlar realmente los interruptores. Sin embargo, en la tarde del 23 de diciembre, los empleados de Kyivoblenergo observaron impotentes cómo se abría un circuito tras otro en decenas de subestaciones en una región del tamaño de Massachusetts, aparentemente comandadas por computadoras en su red que no podían ver. De hecho, los ingenieros de Kyivoblenergo determinaron que los atacantes habían configurado su propia copia perfectamente configurada del software de control en una PC en una instalación lejana y luego utilizaron ese clon deshonesto para enviar los comandos que cortan la energía.
Una vez que los interruptores automáticos estaban abiertos y el poder de decenas de miles de ucranianos se había extinguido, los piratas informáticos lanzaron otra fase del ataque. Habían sobrescrito el firmware de los convertidores serie a Ethernet de las subestaciones: pequeñas cajas en los armarios de los servidores de las estaciones que traducían los protocolos de Internet para comunicarse con los equipos más antiguos. Al volver a escribir el código oscuro de esos trozos de hardware, un truco que probablemente tardó semanas en idear, los piratas informáticos habían bloqueado los dispositivos de forma permanente, impidiendo que los operadores legítimos tuvieran más control digital de los interruptores. Asentado en la mesa de la sala de conferencias, Assante se maravilló de la minuciosidad de la operación.
Los hackers también dejaron una de sus tarjetas de llamadas habituales, ejecutando KillDisk para destruir un puñado de computadoras de la compañía. Pero el elemento más cruel del ataque golpeó las baterías de las estaciones de control. Cuando se cortó la electricidad a la región, las estaciones también perdieron energía, lo que las arroja a la oscuridad en medio de la crisis. Con la mayor precisión, los hackers habían diseñado un apagón dentro de un apagón.
"El mensaje fue: 'Voy a hacerte sentir esto en todas partes'. Boom boom boom boom boom boom boom", dice Assante, imaginando el ataque desde la perspectiva de un operador de red desconcertado. "Estos atacantes deben haber parecido que eran dioses".
Esa noche, el equipo tomó un vuelo a la ciudad ucraniana de Ivano-Frankivsk, al pie de las montañas de los Cárpatos, y llegó a su pequeño aeropuerto de la era soviética en medio de una tormenta de nieve. A la mañana siguiente visitaron la sede de Prykarpattyaoblenergo, la compañía eléctrica que había sido la más afectada por el ataque anterior a la Navidad.
Los ejecutivos de la compañía de energía acogieron cortésmente a los estadounidenses en su moderno edificio, bajo las amenazantes chimeneas de la central eléctrica de carbón abandonada en el mismo complejo. Luego los invitaron a su sala de juntas, sentándolos en una larga mesa de madera debajo de una pintura al óleo de las secuelas de una batalla medieval.
Ante sus ojos, las manos fantasmas pasaron a través de docenas de interruptores, cada uno de ellos sirviendo a una franja diferente de la región, y uno por uno por uno, los enfrió.
El ataque que describieron fue casi idéntico al que golpeó Kyivoblenergo: BlackEnergy, firmware dañado, sistemas de energía de respaldo interrumpidos, KillDisk. Pero en esta operación, los atacantes habían dado otro paso, bombardeando los centros de llamadas de la compañía con llamadas telefónicas falsas, posiblemente para retrasar las advertencias de cortes de energía de los clientes o simplemente para agregar otra capa de caos y humillación.
También había otra diferencia. Cuando los estadounidenses preguntaron si, como en Kiev, el software de control clonado había enviado los comandos que apagaban la alimentación, los ingenieros de Prykarpattyaoblenergo dijeron que no, que sus interruptores automáticos habían sido abiertos por otro método. Fue entonces cuando el director técnico de la compañía, un hombre alto y serio con cabello negro y ojos azul hielo, intervino. En lugar de tratar de explicar los métodos de los hackers a los estadounidenses a través de un traductor, se ofreció a mostrarlos, haciendo clic en Jugar en un video que había grabado él mismo en su maltratado iPhone 5s.
El clip de 56 segundos mostraba un cursor moviéndose alrededor de la pantalla de una de las computadoras en la sala de control de la compañía. El puntero se desliza hacia el icono de uno de los interruptores y hace clic en un comando para abrirlo. El video pasa del monitor Samsung de la computadora a su mouse, que no se ha movido. Luego muestra que el cursor se mueve nuevamente, aparentemente por su propia cuenta, que se cierne sobre un interruptor automático e intenta nuevamente cortar su flujo de energía mientras los ingenieros en la sala se preguntan entre sí quién lo controla.
Los hackers no habían enviado sus comandos de apagón de malware automatizado, ni siquiera una máquina clonada como lo habían hecho en Kyivoblenergo. En cambio, los intrusos habían explotado la herramienta de asistencia técnica de TI de la compañía para tomar control directo de los movimientos del mouse de los operadores de las estaciones. Habían bloqueado a los operadores de su propia interfaz de usuario. Y ante sus ojos, las manos fantasmas pasaron a través de docenas de interruptores, cada uno de ellos sirviendo a una franja diferente de la región, y uno por uno por uno, los enfrió.
En agosto de 2016, ocho meses después del primer apagón navideño, Yasinsky dejó su trabajo en StarLightMedia. Decidió que no era suficiente defender a una sola compañía de un ataque que golpeaba a todos los estratos de la sociedad ucraniana. Para mantenerse al día con los hackers, necesitaba una visión más holística de su trabajo, y Ucrania necesitaba una respuesta más coherente a la organización descarada y prolífica en que se había convertido Sandworm. "El lado de la luz sigue dividido", dice sobre la reacción balcanizada a los hackers entre sus víctimas. "El lado oscuro está unido".
Así que Yasinsky asumió el cargo de jefe de investigación y análisis forense de una empresa de Kiev llamada Information Systems Security Partners. La compañía apenas era un gran nombre. Pero Yasinsky lo convirtió en un primer respondedor de facto para las víctimas del asedio digital de Ucrania.
No mucho después de que Yasinsky cambió de trabajo, casi como si fuera una señal, el país sufrió otra ola de ataques aún más amplia. Él marca la lista de víctimas: el fondo de pensiones de Ucrania, la tesorería del país, su autoridad portuaria, sus ministerios de infraestructura, defensa y finanzas. Los piratas informáticos volvieron a golpear a la compañía ferroviaria de Ucrania, esta vez interrumpiendo su sistema de reservas en línea durante días, justo en medio de la temporada de viajes de vacaciones. Como en 2015, la mayoría de los ataques culminaron con una detonación al estilo KillDisk en el disco duro del objetivo. En el caso del ministerio de finanzas, la bomba lógica eliminó terabytes de datos, justo cuando el ministerio estaba preparando su presupuesto para el próximo año. En total, el nuevo ataque invernal de los hackers coincidió y superó al del año anterior, hasta su gran final.
El 16 de diciembre de 2016, mientras Yasinsky y su familia se sentaban mirando a Snowden, un joven ingeniero llamado Oleg Zaychenko llevaba cuatro horas en su turno nocturno de 12 horas en la estación de transmisión de Ukrenergo, al norte de Kiev. Estaba sentado en una vieja sala de control de la era soviética, con las paredes cubiertas de paneles de control analógico de piso a techo de color beige y rojo. El gato atigrado de la estación, Aza, estaba fuera de caza; Todo lo que mantuvo a Zaychenko en la compañía era una televisión en la esquina que reproducía videos de música pop.
El circuito 20 y final se apagó y las luces de la sala de control se apagaron, junto con la computadora y el televisor.
Estaba llenando un registro de papel y lápiz, documentando otra tarde de sábado sin incidentes, cuando la alarma de la estación de repente sonó, un timbre ensordecedor continuo. A su derecha, Zaychenko vio que dos de las luces que indicaban el estado de los circuitos del sistema de transmisión habían cambiado de rojo a verde, en el lenguaje universal de los ingenieros eléctricos, una señal de que estaba apagado.
El técnico recogió el teléfono de escritorio negro a su izquierda y llamó a un operador de la sede de Ukrenergo para avisarle de la rutina. Mientras lo hacía, otra luz se volvió verde. Luego otro. La adrenalina de Zaychenko comenzó a aparecer. Mientras explicaba apresuradamente la situación al operador remoto, las luces seguían girando: de rojo a verde, de rojo a verde. Ocho, luego 10, luego 12.
A medida que la crisis se intensificaba, el operador ordenó a Zaychenko que corriera afuera y revisara el equipo para detectar daños físicos. En ese momento, el circuito 20 y final se apagó y las luces de la sala de control se apagaron, junto con la computadora y el televisor. Zaychenko ya estaba arrojando un abrigo sobre su uniforme azul y amarillo y corriendo hacia la puerta.
La estación de transmisión es normalmente una vasta y bulliciosa jungla de equipos eléctricos que se extienden por más de 20 acres, el tamaño de más de una docena de campos de fútbol. Pero cuando Zaychenko salió del edificio al aire helado de la noche, la atmósfera era más atrevida que nunca: los tres transformadores del tamaño de un tanque dispuestos a lo largo del edificio, responsables de aproximadamente una quinta parte de la capacidad eléctrica de la capital, se habían silenciado por completo. Hasta entonces, Zaychenko había estado marcando mecánicamente una lista de verificación mental de emergencia. Cuando pasó por delante de las máquinas paralizadas, la idea entró en su mente por primera vez: los hackers habían golpeado de nuevo.
Esta vez, el ataque había hecho subir el sistema circulatorio de la red de Ucrania. En lugar de derribar las estaciones de distribución que se ramifican en capilares de líneas eléctricas, los saboteadores habían golpeado una arteria. Esa única estación de transmisión de Kiev transportó 200 megavatios, más carga eléctrica total que todas las más de 50 estaciones de distribución eliminadas en el ataque de 2015 combinado. Afortunadamente, el sistema estuvo inactivo por solo una hora, apenas lo suficiente para que las tuberías comiencen a congelarse o los locales comiencen a entrar en pánico, antes de que los ingenieros de Ukrenergo comenzaran a cerrar circuitos manualmente y volvieran a poner todo en línea.
Pero la brevedad de la interrupción fue prácticamente lo único menos amenazador del apagón de 2016. Las empresas de seguridad cibernética que desde entonces han analizado el ataque dicen que fue mucho más evolucionada que la de 2015: fue ejecutada por un malware altamente sofisticado y adaptable que ahora se conoce como "CrashOverride", un programa expresamente codificado para ser una cuadrícula automatizada. Arma de matar.
El inicio de seguridad de infraestructura crítica de Lee, Dragos, es una de las dos empresas que han revisado el código del malware; Dragos lo obtuvo de un equipo de seguridad eslovaco llamado ESET. Los dos equipos descubrieron que, durante el ataque, CrashOverride pudo "hablar" el idioma de los oscuros protocolos del sistema de control de la red y, por lo tanto, enviar comandos directamente a los equipos de la red. En contraste con las laboriosas técnicas de ratón fantasma y PC clonado que los piratas informáticos utilizaron en 2015, este nuevo software podría programarse para escanear la red de una víctima para trazar objetivos, luego lanzarlos a una hora preestablecida, abriendo circuitos en el momento justo sin siquiera tener un Conexión a internet de nuevo a los hackers. En otras palabras, es el primer malware que se encuentra en la naturaleza desde que Stuxnet está diseñado para sabotear la infraestructura física de forma independiente.
“En 2015 eran como un grupo de brutales luchadores callejeros. En 2016, fueron ninjas ”.
Y CrashOverride no es solo una herramienta única, diseñada solo para la red de Ukrenergo. Los investigadores dicen que es un arma reutilizable y altamente adaptable de la interrupción de los servicios eléctricos. Dentro de la estructura modular del malware, los protocolos del sistema de control de Ukrenergo podrían ser fácilmente intercambiados y reemplazados por otros utilizados en otras partes de Europa o los Estados Unidos.
Marina Krotofil, una investigadora de seguridad de sistemas de control industrial para Honeywell que también analizó el ataque de Ukrenergo, describe los métodos de los hackers como más simples y mucho más eficientes que los utilizados en el ataque del año anterior. "En 2015 eran como un grupo de luchadores callejeros brutales", dice Krotofil. "En 2016, eran ninjas". Pero los propios piratas informáticos pueden ser el mismo; Los investigadores de Dragos han identificado a los arquitectos de CrashOverride como parte de Sandworm, con base en la evidencia de que Dragos aún no está listo para revelar.
Para Lee, estos son signos preocupantes del progreso de Sandworm. Me reuní con él en las oficinas básicas de su firma de seguridad de infraestructura crítica con sede en Baltimore, Dragos. Fuera de la ventana de su oficina se vislumbran una serie de pilones que sostienen líneas de transmisión. Lee me dice que llevan el poder a 18 millas al sur, al corazón de Washington, DC.
Por primera vez en la historia, señala Lee, un grupo de hackers ha demostrado que está dispuesto y es capaz de atacar infraestructura crítica. Han refinado sus técnicas sobre múltiples ataques evolutivos. Y ya han plantado malware BlackEnergy en la red de EE. UU. Una vez antes. "Las personas que entienden la red eléctrica de EE. UU. Saben que puede suceder aquí", dice Lee.
Para los piratas informáticos de Sandworm, dice Lee, los EE. UU. Podrían presentar un conjunto de objetivos aún más conveniente si alguna vez deciden atacar la red aquí. Las empresas eléctricas estadounidenses están más en sintonía con la ciberseguridad, pero también son más automatizadas y modernas que las de Ucrania, lo que significa que podrían presentar más una "superficie de ataque" digital. Y los ingenieros estadounidenses tienen menos experiencia en la recuperación manual de apagones frecuentes.
"Dígame qué es lo que no cambia dramáticamente cuando las ciudades clave en la mitad de los Estados Unidos no tienen energía durante un mes".
Nadie sabe cómo o dónde se materializarán los próximos ataques de Sandworm. Una brecha futura podría apuntar no a una estación de distribución o transmisión sino a una planta de energía real. O podría estar diseñado no solo para apagar el equipo sino para destruirlo. En 2007, un equipo de investigadores del Laboratorio Nacional de Idaho, uno que incluía a Mike Assante, demostró que es posible destruir la infraestructura eléctrica: el llamado experimento de Aurora no utilizó más que comandos digitales para destruir de forma permanente un generador diesel de 2.25 megavatios. En un video del experimento, una máquina del tamaño de una sala de estar tose y escupe humo blanco y negro en su agonía. Un generador de este tipo no es tan diferente del equipo que envía cientos de megavatios a los consumidores estadounidenses; con la explotación adecuada, es posible que alguien pueda desactivar permanentemente los equipos de generación de energía o los transformadores masivos y difíciles de reemplazar que sirven como la columna vertebral de nuestro sistema de transmisión. "¿Washington DC? Un estado-nación podría retirarlo durante dos meses sin mucho problema ”, dice Lee.
De hecho, en su análisis de CrashOverride, ESET encontró que el malware ya puede incluir uno de los ingredientes para ese tipo de ataque destructivo. Los investigadores de ESET observaron que CrashOverride contiene un código diseñado para apuntar a un dispositivo Siemens particular que se encuentra en las centrales eléctricas, un equipo que funciona como un interruptor de emergencia para evitar oleadas peligrosas en las líneas eléctricas y los transformadores. Si CrashOverride puede invalidar esa medida de protección, es posible que ya pueda causar daños permanentes en el hardware de la red.
Un incidente aislado de destrucción física ni siquiera puede ser lo peor que pueden hacer los piratas informáticos. La comunidad estadounidense de ciberseguridad a menudo habla de "amenazas persistentes avanzadas": intrusos sofisticados que no se infiltran simplemente en un sistema por un ataque, sino que permanecen allí, manteniendo su control sobre un objetivo en silencio. En sus pesadillas, dice Lee, la infraestructura estadounidense es hackeada con este tipo de persistencia: redes de transporte, tuberías o redes eléctricas derribadas una y otra vez por adversarios profundamente arraigados. "Si lo hicieran en múltiples lugares, podría tener hasta un mes de interrupciones en toda la región", dice. "Dígame qué es lo que no cambia dramáticamente cuando las ciudades clave en la mitad de los Estados Unidos no tienen energía durante un mes".
Una cosa, sin embargo, es contemplar lo que un actor como Rusia podría hacer a la grilla estadounidense; Es otro contemplar por qué lo haría. Un ataque a la red contra los servicios públicos estadounidenses casi con seguridad resultaría en una represalia inmediata y seria por parte de los Estados Unidos. Algunos analistas de seguridad cibernética argumentan que el objetivo de Rusia es simplemente hacer un hueco en la propia estrategia de guerra cibernética de Estados Unidos: al apagar las luces en Kiev y al demostrar que es capaz de penetrar en la red estadounidense, Moscú envía un mensaje que advierte a los Estados Unidos de que no prueben Stuxnet. Ataque de estilo a Rusia o sus aliados, como el dictador sirio Bashar al-Assad. Desde ese punto de vista, todo es un juego de disuasión.
"Sería difícil decir que no somos vulnerables. Todo lo relacionado con otra cosa es vulnerable ".
Pero Lee, quien estuvo involucrado en escenarios de juegos de guerra durante su tiempo de inteligencia, cree que Rusia podría realmente tomar a los servicios públicos estadounidenses como una medida de represalia si alguna vez se viera a sí mismo como una esquina, por ejemplo, si EE. UU. Amenazaba con interferir con el ejército de Moscú. Intereses en Ucrania o Siria. "Cuando niegas la capacidad de un estado para proyectar poder, tiene que atacar", dice Lee.
Las personas como Lee, por supuesto, han estado jugando a la guerra estas pesadillas durante más de una década. Y a pesar de toda la sofisticación de los cortes de cuadrícula de Ucrania, incluso ellos no constituyeron realmente una catástrofe; Después de todo, las luces volvieron a encenderse. Las compañías eléctricas estadounidenses ya han aprendido de la victimización de Ucrania, dice Marcus Sachs, director de seguridad de la Corporación de Confiabilidad Eléctrica de América del Norte. Después del ataque de 2015, dice Sachs, NERC participó en un road show, se reunió con firmas de energía para informarles que necesitan reforzar sus prácticas básicas de ciberseguridad y desactivar el acceso remoto a sus sistemas críticos con mayor frecuencia. "Sería difícil decir que no somos vulnerables. Todo lo relacionado con otra cosa es vulnerable ", dice Sachs. "Dar el salto y sugerir que la cuadrícula está a milisegundos del colapso es irresponsable".
Pero para aquellos que han estado prestando atención a Sandworm durante casi tres años, dar una alarma sobre la posibilidad de un ataque en la red de EE. UU. Ya no está llorando lobo. Para John Hultquist, jefe del equipo de investigadores en FireEye que vio por primera vez y nombró al grupo Sandworm, los lobos han llegado. "Hemos visto a este actor mostrar una capacidad para apagar las luces y un interés en los sistemas de EE. UU.", Dice Hultquist. Tres semanas después del ataque a Kiev en 2016, escribió una predicción en Twitter y la fijó en su perfil para la posteridad: "Lo juro, cuando Sandworm Team finalmente se meta en la infraestructura crítica occidental, y la gente reacciona así, fue una gran sorpresa. Voy a piérdelo."
La sede de la firma de Yasinsky, Information Systems Security Partners, ocupa un edificio de poca altura en un barrio industrial de Kiev, rodeado de campos de deportes fangosos y derrumbando rascacielos grises, algunos de los muchos recuerdos persistentes de la Unión Soviética en Ucrania. En el interior, Yasinsky se sienta en una habitación oscura detrás de una mesa redonda cubierta por mapas de red de 6 pies de largo que muestran nodos y conexiones de complejidad borgiana. Cada mapa representa la línea de tiempo de una intrusión de Sandworm. A estas alturas, el grupo de hackers ha sido el foco principal de su trabajo durante casi dos años, desde el primer ataque a StarLightMedia.
Yasinsky dice que ha tratado de mantener una perspectiva desapasionada de los intrusos que están saqueando su país. Pero cuando el apagón se extendió a su propia casa hace cuatro meses, fue "como ser robado", me dice. "Fue una especie de violación, un momento en el que te das cuenta de que tu propio espacio privado es solo una ilusión".
Yasinsky dice que no hay forma de saber exactamente cuántas instituciones ucranianas han sido golpeadas en la creciente campaña de ataques cibernéticos; Cualquier cuenta es susceptible de ser subestimada. Por cada blanco conocido públicamente, hay al menos una víctima secreta que no ha admitido ser violada, y aún otros objetivos que aún no han descubierto a los intrusos en sus sistemas.
"Están probando las líneas rojas, lo que pueden salirse con la suya. Empujas y ves si eres empujado hacia atrás. Si no, intenta el siguiente paso ".
Cuando nos reunimos en las oficinas de ISSP, de hecho, la próxima ola de la invasión digital ya está en marcha. Detrás de Yasinsky, dos empleados más jóvenes y barbudos están atrapados en sus teclados y pantallas, separando el malware que la compañía obtuvo el día anterior de una nueva ronda de correos electrónicos de phishing. Yasinsky ha notado que los ataques se han asentado en un ciclo estacional: durante los primeros meses del año, los hackers establecen sus bases, penetrando silenciosamente en los objetivos y extendiéndose. Al final del año, desatan su carga útil. Yasinsky ya sabe que incluso mientras analiza el ataque a la red eléctrica del año pasado, las semillas ya se están sembrando para las sorpresas de diciembre de 2017.
Prepararse para la próxima ronda, dice Yasinsky, es como "estudiar para un próximo examen final". Pero en el gran esquema, cree que lo que Ucrania ha enfrentado durante los últimos tres años puede haber sido solo una serie de pruebas prácticas.
Resume las intenciones de los atacantes hasta ahora en una sola palabra rusa: poligon. Un campo de entrenamiento. Incluso en sus ataques más dañinos, observa Yasinsky, los hackers podrían haber ido más lejos. Podrían haber destruido no solo los datos almacenados del Ministerio de Finanzas, sino también sus copias de seguridad. Probablemente podrían haber destruido la estación de transmisión de Ukrenergo por más tiempo o haber causado un daño físico permanente a la red, dice, una restricción que los analistas estadounidenses como Assante y Lee también han notado. "Todavía están jugando con nosotros", dice Yasinsky. Cada vez, los hackers se retiraban antes de lograr el máximo daño posible, como si estuvieran reservando sus verdaderas capacidades para alguna operación futura.
Muchos analistas de ciberseguridad global han llegado a la misma conclusión. ¿Dónde es mejor entrenar a un ejército de hackers del Kremlin en combate digital que en la atmósfera sin límites de una guerra caliente dentro de la esfera de influencia del Kremlin? "Los guantes están fuera. Este es un lugar donde puedes hacer lo peor sin represalias o enjuiciamientos ", dice Geers, el embajador de la OTAN. “Ucrania no es Francia ni Alemania. Muchos estadounidenses no pueden encontrarlo en un mapa, así que puedes practicar allí ”. (En una reunión de diplomáticos en abril, el secretario de estado de EE. UU., Rex Tillerson, llegó al extremo de preguntar:“ ¿Por qué deberían interesarse los contribuyentes estadounidenses? ¿Ucrania?")
En esa sombra de abandono, Rusia no solo está superando los límites de sus habilidades técnicas, dice Thomas Rid, profesor en el departamento de Estudios de Guerra en el King´s College de Londres. También es sentir lo que la comunidad internacional va a tolerar. El Kremlin se entrometió en las elecciones ucranianas y no tuvo repercusiones reales; luego intentó tácticas similares en Alemania, Francia y Estados Unidos. Los hackers rusos apagaron el poder en Ucrania con impunidad y, bueno, el silogismo no es difícil de completar. "Están probando líneas rojas, con lo que pueden salirse con la suya", dice Rid. "Empujas y ves si eres empujado hacia atrás. Si no, intenta el siguiente paso ".
¿Cómo será el próximo paso? En la penumbra del laboratorio de ISSP en Kiev, Yasinsky admite que no lo sabe. Quizás otro apagón. O tal vez un ataque dirigido a una instalación de agua. "Usa tu imaginación", sugiere secamente.
Detrás de él, la luz de la tarde se desvanece a través de las persianas, convirtiendo su rostro en una silueta oscura. "El ciberespacio no es un objetivo en sí mismo", dice Yasinsky. "Es un medio". Y ese medio se conecta, en todas direcciones, a la propia maquinaria de la civilización.