El equipo de investigación de NIVEL4 ha descubierto que dispositivos utilizados en infraestructuras de control industrial son parte de una botnet controlada principalmente desde China.
Entonces, imaginemos que existe una empresa que fabrica y procesa alimentos la cual cuenta con distintas plantas de tratamiento a lo largo del país. Cada planta tiene diversos dispositivos que ayudan a la operación y conforman una gran infraestructura con sistemas de control industrial. La forma más óptima de monitorear y operar esta infraestructura es centralizarla mediante una infraestructura SCADA, por lo tanto toda la infraestructura -de todas las ciudades- deben estar conectadas entre si y enviar información a un centro de control. Para conectar toda la infraestructura de la planta de una ciudad se puede usar una red interna y posteriormente enviar toda la información al centro de operaciones.
Entendiendo este ejemplo, ¿cómo podrían las plantas, ubicadas a lo largo de todo el país, enviar información al centro de operaciones?
Desde el punto de vista de redes y telecomunicaciones podrían existir dos soluciones, una red interna por ejemplo mediante un enlace de fibra punto a punto, MPLS u otra forma, pero no es viable si no hay factibilidad técnica en el lugar donde se encuentra la planta de tratamiento. La respuesta que queda es “mediante Internet“. Suena sencillo, pero existen distintas formas de enviar la información desde Internet. Se puede realizar mediante una VPN o bien punto a punto.
La verdad es que en la mayoría de los casos se utiliza Internet para operar y transmitir la información relacionada a la infraestructura.
Son muchos los beneficios que se obtienen al conectar redes industriales a internet y esta tendencia va en aumento. Sin embargo, los riesgos a los que nos exponemos al diseñar estas redes sin las medidas de seguridad adecuadas pueden poner en riesgo la seguridad de la propia infraestructura como tambien de una ciudad o país completo.
Por este motivo, este tipo de infraestructuras expuestas a internet, fue el objetivo de una investigación liderada por NIVEL4 Cybersecurity, en la cual se descubrió que existen componentes utilizados en infraestructura ICS/SCADA que son parte de una botnet controlada por distintos paises.
Los datos interesantes que mostró esta investigación son:
- La primera infección que se detectó fue el año 2016 y ahora continúan siendo parte de esta botnet y controlados de forma remota. Sin embargo, tenemos sospechas que las infecciones son de mucho antes.
- Se encontraron cerca de 5000 conexiones remotas desde origenes maliciosos.
- Las 5000 conexiones detectadas estaban activas al momento de realizar la investigación.
- Principalmente, los dispositivos estan siendo controlados desde China, Rusia, Estados Unidos, Vietnam y Brasil.
- Los paises más afectados son Estados Unidos, Chile, Francia y Hungria.
Fuente y Autoria de: https://blog.nivel4.com/investigaciones/infraestructuras-scada-atacadas-y-controladas-remotamente/