Español | English
rss facebook linkedin Twitter

Una de espías y un trabajo interesante

Hace ya unas semanas que se publicó en el Wall Street Journal un artículo que hacía saltar la alarma de que espías rusos y chinos habían accedido a la red eléctrica estadounidense. El artículo deja claro que durante la incursión no se dañaron la red eléctrica en sí misma ni ningún otro elemento clave asociado. Sin embargo parece que los espías sí que aprovecharon para dejar puertas traseras secretas que poder utilizar durante una crisis o una eventual guerra. Podéis acceder al artículo completo pinchando aquí.

Siguiendo la información que se ha ido sucediendo al hilo de la noticia me he topado con un estudio muy interesante que hace la gente de Team Cymru y que me gustaría resumir en este post.

Team Cymru gestiona un espacio de direcciones IP públicas enrutables detrás de las cuales no existe ningún servicio activo en ejecución. Esto supone que teóricamente todo el tráfico entrante a esta red debe ser de alguna manera malicioso ya que nada legítimo debería ser enrutado hacia ella. El tráfico entrante provendrá por tanto de los escaneos automáticos generados por herramientas específicas, o por malware en busca puertos con servicios vulnerables asociados.

Aprovechando esta infraestructura, los chicos de Team Cymru han analizado los escaneos que se realizan sobre puertos SCADA conocidos. Conviene recordar aquí que en la actualidad se utiliza Internet como una solución cada vez más habitual para la interconexión de los sistemas de control de las infraestructuras críticas. Esta solución es una alternativa barata y simple con respecto a las cerradas y caras soluciones utilizadas tradicionalmente (fibra, radio y microondas, módems dedicados, satélite, red telefónica básica, telefonía móvil, etc.)

El tráfico monitorizado es el asociado a los puertos udp/20000 (DNP3 con IPSec), tcp/502 (Modbus), udp/2222 y tcp-udp/44818 (PLCs de Rockwell con protocolos propietarios). Esto permite cubrir una gran parte del tráfico de SCADA aunque existen otros protocolos de interés que no se han tenido en cuenta en el estudio, como por ejemplo el IEC 60870.5 en su versión sobre TCP/IP (IEC-104).

En la anterior figura se pueden ver los focos de principal actividad de escaneo de puertos relacionados con sistemas SCADA. Conviene resaltar dos cosas, la intensa actividad con origen en el sureste asiático (principalmente china) y también la clara contribución de España a este tráfico malicioso. Como se destaca en el estudio, el responsable último del ataque no tiene por qué estar detrás de estos focos de actividad. De hecho es altamente probable que se trate de PC's infectados y controlados por mafias o cibercriminales. Hay que tener en cuenta que China es la región con la mayor concentración de Windows sin licencia original, lo que se traduce en una mayor probabilidad de que estén sin parchear y por ende de ser infectados por algún software malicioso.

Si bien es cierto que el estudio descarta analizar el tráfico para tcp/20000 o recalca la baja utilidad de los resultados asociados con tcp-udp/44818 no dice nada respecto a la validez del resto de estadísticas presentadas. Al no monitorizarse las conexiones a determinados puertos y no hacerse un análisis más detallado que identifique cada protocolo SCADA, es probable que también estas estadísticas estén distorsionadas por el ruido proveniente de otras fuentes de tráfico (por ejemplo, gusanos que nada tienen que ver con SCADA). Esto último quizás sea la principal pega que se le puede poner al artículo. ¿Vosotros qué pensáis?

Para saber más sobre el estudio podéis descargaros el documento completo desde aquí.


Elyoenai Egozcue

S21sec labs

1 comentario:

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login