Ataque Remoto al Estilo Stuxnet Posible con Malware PLC Basado en la Web

-
Los investigadores demuestran que los ataques remotos al estilo Stuxnet son posibles contra muchos PLC modernos que utilizan malware basado en la web.


Un equipo de investigadores ha desarrollado malware diseñado para atacar controladores lógicos programables (PLC) modernos en un esfuerzo por demostrar que se pueden lanzar ataques remotos al estilo Stuxnet contra dichos sistemas de control industrial (ICS).

Los investigadores son del Instituto de Tecnología de Georgia y han publicado un artículo que detalla este proyecto de seguridad ICS. 

En el caso de los PLC tradicionales, un atacante puede apuntar a la capa lógica de control o a la capa de firmware. Los ataques de firmware pueden proporcionar un alto nivel de control del dispositivo y son difíciles de detectar, pero el malware puede ser difícil de implementar. El malware de lógica de control es más fácil de implementar, pero también más fácil de detectar. Ambos escenarios requieren que el atacante tenga acceso privilegiado a la red industrial de la organización objetivo.

En el caso de los PLC modernos, muchos incluyen un servidor web y se pueden configurar, controlar y monitorear de forma remota a través de API dedicadas y un navegador web normal que sirve como interfaz hombre-máquina (HMI).

Si bien estos PLC modernos pueden proporcionar muchos beneficios para las organizaciones, los investigadores de Georgia Tech advierten que también pueden expandir significativamente la superficie de ataque de ICS. 

Para demostrar los riesgos, los investigadores desarrollaron lo que llaman malware PLC basado en la web, que reside en la memoria del controlador, pero es ejecutado en el lado del cliente por los dispositivos equipados con navegador presentes en el entorno ICS. El malware puede abusar de las API web legítimas del PLC para causar interrupciones en los procesos industriales o causar daños a la maquinaria.

Este nuevo malware PLC puede ser fácil de implementar y difícil de detectar. La infección inicial se puede realizar a través del acceso físico o de red a la HMI basada en la web objetivo, pero el malware también se puede implementar directamente a través de Internet secuestrando la HMI utilizando vulnerabilidades de origen cruzado. 



Para la persistencia, este nuevo tipo de malware PLC aprovecha los service workers, que permiten que el código JavaScript penetre en la caché del navegador y se ejecute independientemente de la página web que lo instaló. Además, continuarán ejecutándose hasta 24 horas después de que el archivo se haya eliminado del servidor. Con este método, el malware puede sobrevivir a las actualizaciones de firmware, a las nuevas HMI basadas en la web e incluso a los reemplazos de hardware. 

Una vez que se ha implementado, las capacidades del malware dependen de la potencia de las API legítimas basadas en la web que se utilizan, y algunas de estas API son muy potentes. Por ejemplo, se pueden aprovechar para sobrescribir directamente los valores de entrada/salida, abusar de las entradas HMI, cambiar los puntos de ajuste y la configuración de seguridad, falsificar la pantalla HMI, actualizar la configuración del administrador e incluso para la exfiltración de datos en tiempo real. 

Los investigadores dijeron que el malware también puede tener una conexión de comando y control (C&C), incluso si el PLC objetivo está en una red aislada.

Una vez que el actor de amenazas lleva a cabo las tareas deseadas, puede cubrir sus huellas haciendo que el malware se destruya a sí mismo, sobrescribiendo la carga maliciosa con una carga útil benigna, anulando el registro de todos los trabajadores de servicio y, potencialmente, incluso realizando un restablecimiento de fábrica del dispositivo. 

Los investigadores demostraron su trabajo mediante el desarrollo de una pieza de malware llamada IronSpider, que diseñaron para atacar los PLC de Wago. El ataque simulado implicó la explotación de vulnerabilidades previamente desconocidas para implementar el malware cuando el operador objetivo mira un banner publicitario especialmente diseñado. El malware puede sabotear un motor industrial para causar daños mientras falsifica la pantalla HMI para mostrar valores normales y evitar levantar sospechas. 

Algunas de las vulnerabilidades de Wago PLC fueron descritas el año pasado por SecurityWeek después de una charla con Ryan Pickren, uno de los investigadores de Georgia Tech involucrados en este proyecto de malware PLC.

IronSpider ha sido comparado con el notorio malware Stuxnet, que atacó el programa nuclear de Irán hace más de una década.

"Stuxnet saboteó las instalaciones nucleares iraníes modificando la señal de salida analógica a unidades de frecuencia variable que controlaban las centrifugadoras de enriquecimiento de uranio. Un resultado directo de este sabotaje fue la destrucción física de más de 1.000 centrifugadoras y una reducción del 30% en la capacidad operativa de las instalaciones", dijeron los investigadores en su artículo.

Y añadieron: "Nuestro prototipo de malware, IronSpider, fue capaz de lograr un ataque fundamentalmente similar utilizando un enfoque drásticamente diferente. Stuxnet atacó los PLC a través de un malware de lógica de control que desplegó a través de estaciones de trabajo de ingeniería comprometidas [...]. IronSpider, sin embargo, utilizó malware basado en la web que desplegó utilizando un sitio web malicioso sin necesidad de comprometer ningún sistema periférico".

Si bien el ataque se demostró contra un producto de Wago, los investigadores determinaron que este tipo de malware PLC también se puede usar contra PLC de Siemens, Emerson, Schneider Electric, Mitsubishi Electric y Allen Bradley. Los ataques contra estos controladores implican la explotación de vulnerabilidades recién descubiertas o previamente conocidas. En algunos casos, se requieren contraseñas FTP, protocolos inseguros o personas con información privilegiada para un ataque. 

Los expertos han creado un marco independiente del proveedor que se puede utilizar para crear y analizar malware PLC basado en la web. 

"Este marco explora cada etapa utilizando estrategias ampliamente aplicables que se pueden usar contra la mayoría de los modelos de PLC modernos y presenta una descripción general de cómo el código front-end malicioso puede subvertir la integridad de los entornos ICS al comprometer metódicamente las propiedades web de los PLC. Este marco se puede utilizar como punto de referencia en estudios futuros en cualquier proveedor y modelo de PLC", explicaron los investigadores.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más