Los investigadores informaron el viernes que la red eléctrica de Polonia fue blanco de un malware destructivo, presuntamente desplegado por piratas informáticos vinculados al estado ruso, en un intento de interrumpir el suministro de electricidad.
Según reportó Reuters, el ciberataque ocurrió durante la última semana de diciembre. La agencia indicó que el objetivo era cortar las comunicaciones entre las instalaciones de energías renovables y los operadores de distribución eléctrica, aunque el intento fracasó por motivos que no fueron detallados.
Según ArsTechnica, el viernes, la firma de seguridad ESET afirmó que el malware responsable era un wiper, un tipo de programa malicioso que borra de forma permanente el código y los datos almacenados en los servidores con el propósito de destruir por completo las operaciones. Tras analizar las tácticas, técnicas y procedimientos (TTP) utilizados en el ataque, los investigadores de la compañía señalaron que el wiper probablemente fue obra de un grupo de hackers del gobierno ruso conocido como Sandworm.
“Basándonos en nuestro análisis del malware y las tácticas, técnicas y procedimientos asociados, atribuimos el ataque a la APT Sandworm, alineada con Rusia, con un nivel de confianza medio debido a una fuerte coincidencia con numerosas actividades previas de borrado de Sandworm que analizamos”, declararon los investigadores de ESET, consignados por ArsTechnica. “No tenemos constancia de ninguna interrupción exitosa como resultado de este ataque”.
Sandworm cuenta con un extenso historial de ataques destructivos llevados a cabo en nombre del Kremlin y dirigidos contra adversarios. El más destacado ocurrió en Ucrania en diciembre de 2015, cuando dejó a unas 230.000 personas sin electricidad durante alrededor de seis horas, en uno de los meses más fríos del año. Los hackers emplearon un malware de uso general conocido como BlackEnergy para infiltrarse en los sistemas de control de supervisión y adquisición de datos de las compañías eléctricas y, desde allí, activar funciones legítimas para interrumpir la distribución eléctrica. Aquel incidente fue el primer apagón eléctrico conocido facilitado por malware.
ESET señaló que el ataque dirigido contra Polonia ocurrió en el décimo aniversario de aquel evento.
Los limpiadores personalizados han sido desde hace tiempo la herramienta predilecta de los hackers rusos. En 2022, atacantes gubernamentales utilizaron el malware limpiador AcidRain para inutilizar 270.000 módems satelitales en Ucrania con el objetivo de interrumpir las comunicaciones. En ese momento, era el séptimo limpiador que Rusia había utilizado desde la invasión del país vecino. ESET afirmó el año pasado que Sandworm había desplegado múltiples limpiadores en universidades e infraestructuras críticas de Ucrania.
El caso más conocido del uso de limpiadores de datos por parte de Rusia tuvo lugar en 2017 con la propagación de NotPetya. Este gusano destructivo estaba destinado a atacar únicamente a Ucrania, pero se extendió rápidamente por todo el mundo y causó estragos al interrumpir las operaciones informáticas. Se estima que el episodio costó a gobiernos y empresas unos 10.000 millones de dólares, lo que lo convierte probablemente en la intrusión informática más costosa de la historia.