Este documento discute los desafíos de ciberseguridad en las redes eléctricas inteligentes (Smart Grids). Explica cómo los ataques cibernéticos a la infraestructura crítica, como los realizados contra Ucrania en 2015 y Colonial Pipeline en 2021, demuestran la vulnerabilidad de los sistemas de control industrial. También analiza amenazas históricas como Stuxnet y amenazas emergentes como los ataques a la cadena de suministro. El documento concluye que las redes eléctricas intelig
Novena de Pentecostés con textos de san Juan Eudes
Smart Grids y ciberseguridad
1. Smart Grids y ciberseguridad
Fernando Tricas Garcı́a
ftricas@unizar.es
Departamento de Informática e Ingenierı́a de Sistemas – Escuela de Ingenierı́a y
Arquitectura – Instituto de Investigación en Ingenierı́a de Aragón – Universidad de
Zaragoza
Zaragoza, 3 de mayo de 2023
Smart Grids y ciberseguridad
4. ¿Cuándo comenzó la guerra de Ucrania?
https://jsis.washington.edu/news/
cyberattack-critical-infrastructure-russia-ukrainian-power-grid-attacks/
Smart Grids y ciberseguridad
6. Poco a poco. . .
2015
▶ Primavera: spear phishing contra el personal de TI y
administradores de sistemas.
Smart Grids y ciberseguridad
7. Poco a poco. . .
2015
▶ Primavera: spear phishing contra el personal de TI y
administradores de sistemas.
▶ Phishing:
▶ Spear Phishing: objetivos concretos (ataque dirigido).
Smart Grids y ciberseguridad
8. Poco a poco. . .
2015
▶ Primavera: spear phishing contra el personal de TI y
administradores de sistemas.
▶ Documento Word, ‘Por favor active las macros’
▶ −→ Infección + puerta trasera
¡Conseguido! −→ dentro de la red corporativa
Smart Grids y ciberseguridad
9. Poco a poco. . .
▶ Siguientes meses: reconocimiento, exploración y ‘cartografı́a’.
▶ Robo de credenciales que los trabajadores utilizaban para
conectarse a la red de SCADAs usando VPNs
▶ Reconfiguración del UPS1
de dos de los centros de control.
▶ No sólo los clientes sin luz, los operadores también.
▶ Firmware malicioso para reemplazar los convertidores
serie–Ethernet en más de una docena de subestaciones.
▶ Envı́an información del SCADA al sistema de control.
Objetivo: evitar que los operadores recuperen el control.
(Primera vez en un entorno industrial).
▶ Los convertidores son los mismos que se utilizan en muchas
instalaciones
¡Estamos preparados!
1
Uninterruptible Power Supply
Smart Grids y ciberseguridad
10. Poco a poco. . .
▶ 23 de Diciembre: el ataque.
▶ entran en la red de los SCADAs
▶ deshabilitan los sistemas UPS.
▶ ataque de denegación de servicio a la red de telefonı́a de los
clientes para que no puedan llamar e informar (TDOS).
Además de la denegación, provocar el enfado de los clientes
(operaciones psicológicas, manipulación de la opinión pública)
▶ empiezan a abrir interruptores.
▶ Los convertidores no se pueden recuperar, porque están
infectados y no sirven para detener el ataque.
▶ Malware KillDisk para borrar ficheros y dejar los computadores
inútiles.
▶ Algunos de forma manual.
▶ Otros en automático.
−→ Reconocimiento por parte de la compañia de que habı́an sido
atados.
https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
Smart Grids y ciberseguridad
11. BlackEnergy
▶ 2007 bots para generar
DDOS
▶ 2010, BlackEnergy 2
▶ 2014 BlackEnergy 3 (con
plugins)
▶ Ataque a través de un
documento en Word o
PowerPoint en un correo
electrónico.
▶ Sigue la evolución
. . . GreyEnergy
Smart Grids y ciberseguridad
12. BlackEnergy
Origen: Rusia
▶ BlackEnergy es un troyano que se utiliza para llevar a cabo
ataques DDoS, ciberespionaje y ataques de destrucción de
información.
▶ ICS 2
, energı́a, organismos gubernamentales y medios de
comunicación en Ucrania
▶ Empresas ICS/SCADA de todo el mundo
▶ Empresas de energı́a de todo el mundo
2
Industrial Control Systems
Smart Grids y ciberseguridad
13. Los ‘malos’
▶ CIH (1998) de 20 a 80 millones de dólares.
▶ Melissa (1999) 300 a 600 millones de dólares
▶ ILOVEYOU (2000) de 10 a 15 billones de dólares
▶ Code Red (2001) 2.6 billones de dólares.
▶ SQL Slammer (2003), 500000 servidores. Poco daño porque
era sábado.
▶ Blaster (2003)
▶ SoBig (agosto 03) de 5 a 10 billones de dólares y más de un
millón de ordenadores infectados.
1 millón de copias de él mismo en las primeras 24 horas.
▶ Bagle (2004) Muchas variantes
▶ Sasser (2004) suficientemente destructivo como para colgar
algunas comunicaciones satelites de agencia francesas.
Tambien consiguió cancelar vuelos de numeros compañias
aéreas.
No necesitaba acciones por parte del usuario para propagarse.
Smart Grids y ciberseguridad
14. Evolución: botnets
‘La seguridad fı́sica y la ciberseguridad se dan la mano: CCTV‘
https://www.incibe-cert.es/blog/seguridad-fisica-ciberseguridad
Smart Grids y ciberseguridad
15. Ciberguerra: STUXNET
2005 (comienza el desarrollo) – 2010 (Entra en acción)
▶ Israel y EEUU (no reconocido),
operación Juegos Olı́mpicos.
▶ Ataque contra el programa nuclear
de Irán.
▶ Objetivo: los sistemas de
adquisición y control de supervisión
(SCADAa).
▶ Controladores Lógicos
Programables (PLCb
).
▶ Centrifugadoras de gas, utilizadas
para separar material nuclear.
a
Supervisory Control And Data Acquisition
b
Programmable Logic Controllers
https://en.wikipedia.org/wiki/Gas_centrifuge
Smart Grids y ciberseguridad
16. STUXNET
▶ Ataque a través de cuatro fallos de ‘dı́a cero’ (zero-day flaws).
▶ Ataque de ejecución remota RPC sin autentificar (MS08-067)
▶ Fallo en LNK (enlaces) para lanzar el código del ataque. (MS10-046)
▶ Fallo en el servicio de colas de impresión que permitı́a enviar y ejecutar código malicioso en
máquinas remotas.
▶ Fallos de elevación de privilegios.
▶ Máquinas con Windows y programa de Siemens (Step7).
▶ Consiguió recolectar información y forzar la destrucción de las
centrifugadoras haciéndolas girar más rápido.
Smart Grids y ciberseguridad
17. Un mercado de fallos de dı́a cero
https://zerodium.com/
Smart Grids y ciberseguridad
18. Un mercado de fallos de dı́a cero (móviles)
https://zerodium.com/
Smart Grids y ciberseguridad
19. STUXNET
Máquinas desconectadas de la red.
▶ Un ‘rootkit’, responsable de ocultar el rastro.
▶ Se introduce a través de un ‘pendrive’ infectado.
▶ Modifica el código para enviar instrucciones inesperadas al
PLC, devolviendo valores normales a los usuarios.
Smart Grids y ciberseguridad
20. STUXNET
Máquinas desconectadas de la red.
▶ Un ‘rootkit’, responsable de ocultar el rastro.
▶ Se introduce a través de un ‘pendrive’ infectado.
▶ Modifica el código para enviar instrucciones inesperadas al
PLC, devolviendo valores normales a los usuarios.
Later. . . https://web.archive.org/web/20120104215049/http:
//www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99
Smart Grids y ciberseguridad
23. Un experimento
‘Does dropping usb drives really work?’ Blackhat USA 2016
https://www.tripwire.com/state-of-security/
does-dropping-malicious-usb-sticks-really-work-yes-worryingly-well
Matthew Tischer, Zakir Durumeric, Sam Foster, Sunny Duan, Alec Mori, Elie Bursztein, Michael Bailey ‘Users
Really Do Plug in USB Drives They Find’. Black Hat 2016.
https://zakird.com/papers/usb.pdf
Smart Grids y ciberseguridad
24. Para pensar...
▶ Gobiernos como autores de malware
▶ Mercados
▶ Dı́a cero
▶ ¿Ataque o defensa?
Smart Grids y ciberseguridad
26. Ataque a SolarWinds
2019 – 2020
▶ Sistema Orion IT de monitorización y gestión de software
(redes e infraestructura).
▶ Acceso privilegiado a los sistemas (acceso al registro de
actividad y de prestaciones).
▶ Una componente de vigilancia (monitoring) que permite abrir
una puerta trasera (backdoor).
▶ Afectados: Homeland Security, State, Commerce, Treasury,
FireEye, Microsoft, Intel, Cisco and Deloitte
https://www.wired.com/story/the-untold-story-of-solarwinds-the-boldest-supply-chain-hack-ever/
Ataque a la cadena de suministro
Smart Grids y ciberseguridad
27. Consecuencias
‘Software Bill of Materials’, (SBOM), orden ejecutiva firmada por
Joe Biden en mayo de 2021.
https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity/
software-security-supply-chains-software-1
Smart Grids y ciberseguridad
28. Colonial pipeline. Ataques a infraestructuras crı́ticas.
Mayo 2021
▶ Sistema de tuberı́as para transportar gasolina, diésel ...
▶ Desde Houston, Texas hasta el Sudeste de EEUU, NY, ....
▶ RansomWare
▶ La empresa tuvo que detener todas las operaciones para
detener el ataque.
https://www.reuters.com/technology/
colonial-pipeline-halts-all-pipeline-operations-after-cybersecurity-attack-2021-05-08/
Smart Grids y ciberseguridad
29. Colonial pipeline
▶ Pagaron el rescate (75 bitcoin o $4.4 millones)
▶ La herramienta era tan lenta que los propios recursos de la
empresa fueron más eficaces.
▶ Declaración de estado de emergencia en 17 estados.
▶ Ataque a la infraestructura de facturación (no fallo en las
tuberı́as).
▶ También robo de datos
▶ Fallos en productos de Microsoft
▶ Fallos en productos de SolarWinds
▶ Fallos en productos de VMware
DarkSide ¿Rusia?
Smart Grids y ciberseguridad
30. Algunos factores de riesgo en Smart Grids
▶ Falta de estandarización.
▶ Falta de atención al problema
▶ Ciberseguridad vs privacidad
▶ Seguridad por diseño
▶ Se ha visto como algo adicional
‘Smart Grid Security’ (European Network and Information Security
Agency, enisa, 2012)
Smart Grids y ciberseguridad
31. Ataques a Smart Grids
Tala Talaei Khoei, Hadjar Ould Slimane, Naima Kaabouch, ‘A
Comprehensive Survey on the Cyber-Security of Smart Grids:
Cyber-Attacks, Detection, Countermeasure Techniques, and Future
Directions’.
Smart Grids y ciberseguridad
33. Seguimos con la complejidad
Mohammad Kamrul Hasan, AKM Ahasan Habib, Zarina Shukur, Fazil Ibrahim,
Shayla Islam, Md Abdur Razzaque, ‘Review on cyber-physical and
cyber-security system in smart grid: Standards, protocols, constraints, and
recommendations’ In Journal of Network and Computer Applications Volume
209, January 2023, 103540.
https://doi.org/10.1016/j.jnca.2022.103540
Smart Grids y ciberseguridad
36. Conclusiones
▶ Un mercado
▶ Riesgos muy diversos y a muchos niveles
▶ Infraestructuras crı́ticas
▶ Preocupación, regulación...
▶ ‘If It’s Smart, It’s Vulnerable’ (Mikko Hypponen. Agosto 2022)
Smart Grids y ciberseguridad