En diciembre de 2015, un fortuito apagón dejó a más de 230.000 personas sin electricidad en el duro invierno de Ucrania. No había ninguna razón física que explicara la interrupción del servicio, ni en la propia central ni en la red de distribución. El problema llegó de algo mucho menos visible pero notoriamente más dañino: un cibersabotaje protagonizado por BlackEnergy; la primera campaña dirigida específicamente contra una central eléctrica.

Eso fue hace tres años, pero los investigadores de ciberseguridad ya vieron en aquel momento algunas pistas que hacían pensar en una suerte de herederos de este malware. Y, ahora, tras un largo y profundo análisis, los expertos de ESET acaban de desenmascarar a estos hackers, a los que han denominado GreyEnergy. El primer ataque de este grupo lo habría registrado una compañía eléctrica de Polonia a finales de 2015, pero la mayoría de ataques se han concentrado en Ucrania, al igual que lo hiciera BlackEnergy. Además del sector eléctrico, otras infraestructuras críticas -como el transporte público- se habría visto afectadas.

Los ciberdelincuentes buscan vulnerabilidades en los servidores web de la compañía y, desde ahí, van introduciéndose en otros sistemas potencialmente débiles de la compañía. Su malware presenta un marco de espionaje habitual, de modo que va creando puertas traseras en los equipos infectados a través de las que realizan extracción de archivos, realización de pantallazos, keylogs y robo de credenciales y contraseñas, entre otros.

Lo curioso es que la ciberamenaza combina elementos no sólo de BlackEnergy, sino también de Industroyer, el malware más potente del momento, que ha afectado a los sistemas de control industrial y que podría estar detrás del segundo apagón masivo en Ucrania, acontecido en 2006. Las similares entre las distintas campañas se concentran "principalmente en su construcción modular, lo cual provoca que sus funcionalidades dependan de combinaciones particulares en los sistemas de las víctimas", según explica Robert Lipovsky, investigador de ESET, durante la presentación de la ciberamenaza en Bratislava, en la que está INNOVADORES.

En el ámbito más técnico, los delincuentes de GreyEnergy empleaban módulos de uso selectivo, proxies de comando y control internos, así como relés a servidores de comando y control en la red Tor. Todo ello cortesía de Telebots, el grupo de amenazas persistentes avanzadas que se descubrió no sólo con BlackEnergy sino también con varios ataques a entidades bancarias y que alcanzó la gloria con NotPetya, una de las ciberamenazas más graves de los últimos años, con daños valorados en 10.000 millones de dólares.

Por el momento, se han encontrado conexiones de GreyEnergy con objetivos industriales, específicamente con sistemas SCADA. Según podemos confirmar, los ciberdelincuentes habrían conseguido robar certificados de Advantech, un fabricante asiático de esta clase de dispositivos, de forma que sus actividades pudieran parecer legítimas en estos contextos.