El 8 de julio de 2024, el centro de amenazas cibernéticas de la empresa rusa de seguridad informática Solar, llamado 4RAYS, dio a conocer la existencia de un grupo de hackers pro-Ucrania, conocido como Lifting Zmiy, que ha llevado a cabo una serie de ataques contra el gobierno y empresas privadas de Rusia.
Los ataques ocurrieron entre septiembre de 2023 y junio de 2024, y se enfocaron en las empresas de automatización industrial de Rusia, específicamente en los controladores lógicos programables (PLC) de la compañía Tekon-Avtomatika, modelo KUN-IP8. Los hackers aprovecharon estos dispositivos para establecer estaciones de retransmisión y atacar a otros objetivos, afectando a diversas industrias y sistemas operativos, incluyendo Linux y Windows.
Este estudio de amenazas es un claro ejemplo de cómo los ataques cibernéticos en el entorno de tecnología operativa (OT) no siempre se originan en sistemas de tecnología de la información (TI), como se creía anteriormente. En este caso, los hackers atacaron primero la OT para luego expandirse a la TI. La principal razón de esta vulnerabilidad fue el uso de credenciales predeterminadas en los PLC.
El experto en seguridad informática Jose Bertin ya había advertido en marzo de 2022 sobre el uso generalizado de credenciales de administrador predeterminadas en PLC. Estas credenciales estaban disponibles públicamente en el sitio web oficial de Tekon-Avtomatika, aunque la compañía las eliminó después de la advertencia de Bertin. Sin embargo, muchos dispositivos aún no habían cambiado estas credenciales, lo que permitió al grupo de hackers Lifting Zmiy aprovecharlos como estaciones de retransmisión. Además, estos dispositivos estaban conectados a través de Starlink Services LLC, una división de SpaceX que proporciona servicios de Internet satelital en todo el mundo. Los hackers utilizaron esta infraestructura de Starlink para ocultar su ubicación y aprovechar las direcciones IP dinámicas para evadir la detección y el análisis.
Sin embargo, esta no es la primera vez que la seguridad en el entorno de tecnología operativa ha sido motivo de preocupación. En las conferencias BlackHat USA 2015 y BlackHat Asia 2016, se demostró cómo los PLC pueden ser utilizados como estaciones de retransmisión en ataques cibernéticos. En este caso, los investigadores desarrollaron un gusano malicioso, llamado PLC-Blaster, que se ejecutaba en PLC de la compañía Siemens, modelo S7-1200, y se utilizaba para realizar acciones maliciosas.
Este estudio demuestra que, en términos de seguridad, generalmente se confía sin cuestionamiento en los PLC en el entorno de tecnología operativa, especialmente en lo que respecta a la comunicación entre los HMI y los PLC. Además, se presta poca atención a la comunicación entre los dispositivos a nivel horizontal, es decir, entre diferentes niveles del modelo de Purdue. En este caso, los hackers aprovecharon esta confianza en los PLC para utilizarlos como estaciones de retransmisión y evadir la detección por parte de los sistemas de seguridad que se enfocan en la comunicación vertical.
Recientemente, en 2022, el equipo de investigación Team82 de la empresa de seguridad en tecnología operativa Claroty publicó un informe titulado “EVIL PLC ATTACK: WEAPONIZING PLCS”. Este informe reveló un nuevo tipo de ataque llamado Evil PLC, que utiliza los dispositivos PLC como armas para ejecutar comandos maliciosos.
Con el fin de demostrar la vulnerabilidad de los PLC, los investigadores desarrollaron una prueba de concepto y la probaron en dispositivos de siete empresas de automatización industrial, incluyendo Rockwell Automation, Schneider Electric, General Electric, B&R Industrial Automation,