Al margen del conflicto bélico armado, la ciberguerra que se disputa entre Rusia y Ucrania tiene una víctima principal; la población civil. En las últimas horas se ha podido conocer que, durante dos días a mediados de enero, muchos ucranianos de la ciudad de Lviv vivieron sin calefacción debido a un ciberataque que afectó a una empresa energética municipal. Supuso el corte del suministro en más de 600 edificios de apartamentos durante 48 horas.
El ciberataque, perpetrado en plena ola de temperaturas gélidas, ha sido notificado por la empresa de ciberseguridad Dragos. A través de un informe, se detalló que el nuevo malware, de nombre FrostyGoop, está diseñado para atacar sistemas de control industrial y, en concreto, el controlador de sistema de calefacción.
El malware se detectó por primera vez en abril. En ese momento se pudo conocer que éste se había utilizado en un ciberataque previamente en Lviv durante la noche del 22 al 23 de enero. Suponía dejar en jaque a la ciudad más grande del oeste de Ucrania en una gran helada.
Se contabilizó como el tercer corte de servicio conocido vinculado a ciberataques de los últimos años. No obstante, pese a que los investigadores afirmaron que era poco probable que el malware causase cortes de servicio generalizados, se muestra el poder de los ciberdelincuentes para atacar infraestructuras críticas, como las redes eléctricas.
Al analizar al malware FrostyGoop se puede especificar que está diseñado para interactuar con dispositivos de control industrial (ICS) mediante Modbus, un protocolo muy antiguo empleado para controlar dispositivos industriales. Se calcula, en concreto, que habría unos 46.000 dispositivos ICS expuestos a Internet que permiten Modbus.
Al atacar los dispositivos de control ENCO se consigue un impacto irremediable. Dragos afirma haber encontrado, al menos, 40 dispositivos ENCO de este tipo que quedaron igualmente vulnerables en Internet
FrostyGoop es uno de los menos de 10 ejemplares de código descubiertos hasta la fecha que buscan interactuar directamente directamente con el software de sistemas de control industrial con el objetivo de producir efectos físicos.
Las investigaciones de Dragos concluyen que los ciberdelincuentes habían obtenido acceso a la red meses antes del ataque, explotando un enrutador MikroTik vulnerable como punto de entrada. A posteriori, configuraron su propia conexión VPN a la red, conectada a su vez a direcciones IP en Moscú.
Desde Dragos se insiste que la intrusión en la red de calefacción no está vinculada a ningún grupo de ciberdelincuentes, como Kamacite o Electrum, o la unidad notoria de la agencia de inteligencia militar rusa, el GRU.
Se sospecha ahora que FrostyGoop podría interactuar con otros muchos dispositivos, por lo que resulta fundamental investigar para verificar cuáles serían los más vulnerables.
Ciberataques de Rusia a Ucrania
Desde el inicio de la contienda, Rusia ha perpetrado numerosos ataques contra Ucrania. En concreto, FrostyGoop es el noveno malware para sistemas ICS encontrado a lo largo de los años.
Así pues, Industroyer o CrashOverride fue utilizado por un grupo de ciberdelincuentes, vinculado al gobierno ruso para apagar, por completo, todas las luces de Kiev. Posteriormente desconectaron las subestaciones eléctricas de Ucrania.
El invierno es históricamente un aliado ruso para acometer sus ataques contra los civiles ucranianos. Bombardear infraestructuras de calefacción o provocar apagones en pleno diciembre son la tónica habitual de actuación rusa.
El concepto de guerra híbrida existe entre Rusia y Ucrania desde 2014. En concreto, hasta 2017, la guerra cibernética mostró sus mayores estragos. En 2015, gran parte de la población ucraniana se quedó sin calefacción en sus casas tras varios ciberataques. En 2017 se lanzó un malware sofisticado denominado NotPreya, FakeCry o BadRabbit, que pretendía sabotear las comunicaciones ucranianas.
A mediados de enero de 2022, en pleno conflicto bélico, surgió un malware, probablemente creado por el grupo Voodoo Bear, que pretendía robar información gubernamental para posteriormente venderla. Otras webs institucionales y bancos ucranianos se vieron afectados durante los primeros meses de la contienda, logrando su objetivo: aumentar el sentimiento de peligro entre la población.
El 23 de febrero de 2022 se registra una oleada de ataques DDoS contra el Ministerio de Asuntos Exteriores, Ministerio de Defensa, Ministerio del Interior, Gabinete de Ministros y Servicio de Seguridad de Ucrania.
En los primeros meses de la guerra, Rusia llevó a cabo una media de más de diez ciberataques diarios al país ucranio, más de 4.000 en 2022. El uso de ciberarmas en este conflicto pone de relieve los opacos límites legales de la ciberguerra, que puede atacar a infraestructuras críticas y permanecer impune mientras la sociedad civil queda sumergida en el caos más absoluto.
En febrero de 2022, un ciberataque masivo similar al de un mes antes dejó sin funcionar los sitios web de las Fuerzas Armadas, el Ministerio de Defensa; el Oschadbank, la caja de ahorros ucraniana; y el Privatbank, el banco privado más grande del país, que atiende a unos 20 millones de ciudadanos. El parlamento ucraniano también denunció la existencia de una campaña de phishing con el objetivo de robar información
En más de una ocasión, Ucrania ha acusado a China de colaborar con Rusia en la perpetración de ciberataques contra infraestructuras críticas y la población civil. El conflicto, lejos de aminorarse, gana fuerza en las trincheras cibernéticas y todo ello en un escenario imprevisible.