Un experimento secreto en 2007 demostró que los piratas informáticos podían devastar el equipo de la red eléctrica sin posibilidad de reparación, con un archivo no mayor que un gif.
por ANDY GREENBER G
A PRINCIPIOS DE ESTA SEMANA,el Departamento de Justicia de los Estados Unidos reveló una acusación formal contra un grupo de piratas informáticos conocido como Sandworm . El documento acusaba a seis piratas informáticos que trabajaban para la agencia de inteligencia militar rusa GRU por delitos informáticos relacionados con media década de ciberataques en todo el mundo, desde sabotear los Juegos Olímpicos de Invierno 2018 en Corea hasta desencadenar el malware más destructivo de la historia en Ucrania. Entre esos actos de guerra cibernética se encontraba un ataque sin precedentes a la red eléctrica de Ucrania en 2016 , uno que parecía diseñado no solo para causar un apagón, sino para infligir daños físicos a los equipos eléctricos.. Y cuando un investigador de ciberseguridad llamado Mike Assante profundizó en los detalles de ese ataque, reconoció una idea de pirateo de redes inventada no por piratas informáticos rusos, sino por el gobierno de los Estados Unidos, y probada una década antes.
El siguiente extracto del libro SANDWORM: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers , publicado en rústica esta semana, cuenta la historia de ese primer experimento seminal de pirateo de redes. La demostración fue dirigida por Assante, el legendario pionero de la seguridad de los sistemas de control industrial. Llegaría a conocerse como la prueba del generador Aurora. Hoy en día, todavía sirve como una poderosa advertencia de los posibles efectos de los ciberataques en el mundo físico, y una inquietante premonición de los ataques de Sandworm por venir.
EN UN PENETRANTE Mañana fría y ventosa de marzo de 2007, Mike Assante llegó a las instalaciones del Laboratorio Nacional de Idaho, a 32 millas al oeste de Idaho Falls, un edificio en medio de un vasto paisaje desértico alto cubierto de nieve y artemisa. Entró en un auditorio dentro del centro de visitantes, donde se estaba reuniendo una pequeña multitud. El grupo incluía a funcionarios del Departamento de Seguridad Nacional, el Departamento de Energía y la Corporación de Confiabilidad Eléctrica de América del Norte (NERC), ejecutivos de un puñado de empresas eléctricas en todo el país y otros investigadores e ingenieros a quienes, como Assante, se les asignó la tarea por el laboratorio nacional para pasar sus días imaginando amenazas catastróficas a la infraestructura crítica estadounidense.
En la parte delantera de la sala había una serie de monitores de video y alimentadores de datos, configurados para enfrentar los asientos del estadio de la sala, como el control de la misión en el lanzamiento de un cohete. Las pantallas mostraban imágenes en vivo desde varios ángulos de un enorme generador diésel. La máquina era del tamaño de un autobús escolar, una gigantesca masa de acero de color verde menta que pesaba 27 toneladas, casi tanto como un tanque M3 Bradley. Se sentó a una milla de distancia de su audiencia en una subestación eléctrica, produciendo suficiente electricidad para alimentar un hospital o un barco de la marina y emitiendo un rugido constante. Olas de calor que salían de su superficie ondularon el horizonte en la imagen del video.
Assante y sus compañeros investigadores de INL habían comprado el generador por $ 300,000 en un campo petrolero en Alaska. Lo habían enviado miles de millas al sitio de prueba de Idaho, un terreno de 890 millas cuadradas donde el laboratorio nacional mantenía una red eléctrica considerable para propósitos de prueba, con 61 millas de líneas de transmisión y siete subestaciones eléctricas.
Ahora, si Assante había hecho bien su trabajo, lo iban a destruir. Y los investigadores reunidos planearon matar esa pieza de maquinaria muy costosa y resistente no con ninguna herramienta física o arma, sino con aproximadamente 140 kilobytes de datos, un archivo más pequeño que el GIF de gato promedio compartido hoy en Twitter.
TRES AÑOS ANTES, Assante había sido el director de seguridad de American Electric Power, una empresa de servicios públicos con millones de clientes en 11 estados, desde Texas hasta Kentucky. Assante, exoficial de la marina convertido en ingeniero de ciberseguridad, había sido durante mucho tiempo consciente del potencial de los piratas informáticos para atacar la red eléctrica. Pero estaba consternado al ver que la mayoría de sus pares en la industria de servicios eléctricos tenían una visión relativamente simplista de esa amenaza aún teórica y distante. Si los piratas informáticos se adentraban lo suficiente en la red de una empresa de servicios públicos para comenzar a abrir interruptores automáticos, la sabiduría común de la industria en ese momento era que el personal simplemente podía expulsar a los intrusos de la red y volver a encender la energía. “Podríamos manejarlo como una tormenta”, recuerda Assante que dijeron sus colegas. “De la forma en que se imaginó, sería como una interrupción y nos recuperaríamos de la interrupción…”
Pero Assante, que tenía un nivel poco común de experiencia en el cruce entre la arquitectura de las redes eléctricas y la seguridad informática, fue molestado por un pensamiento más tortuoso. ¿Qué pasaría si los atacantes no se limitaran a secuestrar los sistemas de control de los operadores de la red para activar interruptores y provocar apagones a corto plazo, sino que reprogramaran los elementos automatizados de la red, componentes que tomaban sus propias decisiones sobre las operaciones de la red sin consultar con ningún humano?
En particular, Assante había estado pensando en un equipo llamado relé de protección. Los relés de protección están diseñados para funcionar como un mecanismo de seguridad para proteger contra condiciones físicas peligrosas en los sistemas eléctricos. Si las líneas se sobrecalientan o un generador no está sincronizado, son esos relés de protección los que detectan la anomalía y abren un disyuntor, desconectando el lugar del problema, ahorrando hardware valioso e incluso previniendo incendios. Un relé de protección funciona como una especie de salvavidas para la red.
Pero, ¿y si ese relé de protección pudiera paralizarse o, peor aún, corromperse de modo que se convirtiera en el vehículo de la carga útil de un atacante?
Esa inquietante pregunta era una que Assante había trasladado al Laboratorio Nacional de Idaho desde su época en la empresa de servicios eléctricos. Ahora, en el centro de visitantes del campo de pruebas del laboratorio, él y sus compañeros ingenieros estaban a punto de poner en práctica su idea más maliciosa. Al experimento secreto se le dio un nombre en clave que se convertiría en sinónimo de la posibilidad de que los ataques digitales inflijan consecuencias físicas: Aurora.
EL DIRECTOR DE PRUEBAS lee la hora: 11:33 am. Verificó con un ingeniero de seguridad que el área alrededor del generador diesel del laboratorio estuviera libre de transeúntes. Luego envió un visto bueno a uno de los investigadores de ciberseguridad en la oficina del laboratorio nacional en Idaho Falls para comenzar el ataque. Como cualquier sabotaje digital real, éste se realizaría desde millas de distancia, a través de Internet. El pirata informático simulado de la prueba respondió enviando aproximadamente 30 líneas de código desde su máquina al relé de protección conectado al generador diésel del tamaño de un autobús.
El interior de ese generador, hasta el momento exacto de su sabotaje, venía realizando una especie de danza invisible, perfectamente armonizada con la red eléctrica a la que estaba conectado. El combustible diesel en sus cámaras se aerosolizó y detonó con una sincronización inhumana para mover pistones que giraban una varilla de acero dentro del motor del generador; el conjunto completo se conocía como el “motor principal”, aproximadamente 600 veces por minuto. Esa rotación se llevó a cabo a través de una arandela de goma, diseñada para reducir cualquier vibración, y luego a los componentes generadores de electricidad: una varilla con brazos envueltos en cables de cobre, alojados entre dos imanes masivos para que cada rotación indujera corriente eléctrica en los cables. Gire esa masa de cobre enrollado lo suficientemente rápido y produjo 60 hercios de corriente alterna, alimentando su energía a la red mucho más grande a la que estaba conectada.
Un relé de protección adjunto a ese generador fue diseñado para evitar que se conecte al resto del sistema de energía sin sincronizar primero con ese ritmo exacto: 60 hercios. Pero el hacker de Assante en Idaho Falls acababa de reprogramar ese dispositivo de salvaguardia, volteando su lógica al revés.
A las 11:33 am y 23 segundos, el relé de protección observó que el generador estaba perfectamente sincronizado. Pero luego su cerebro corrupto hizo lo contrario de lo que estaba destinado a hacer: abrió un disyuntor para desconectar la máquina.
Cuando el generador se separó del circuito más grande de la red eléctrica del Laboratorio Nacional de Idaho y se liberó de la carga de compartir su energía con ese vasto sistema, instantáneamente comenzó a acelerar, girando más rápido, como una manada de caballos que se hubiera soltado de su carro. Tan pronto como el relé de protección observó que la rotación del generador se había acelerado para estar completamente fuera de sincronía con el resto de la red, su lógica volteada maliciosamente lo reconectó inmediatamente a la maquinaria de la red.
En el momento en que el generador diesel se conectó nuevamente al sistema más grande, fue golpeado por la fuerza desgarradora de todos los demás generadores giratorios de la red. Todo ese equipo hizo que la masa relativamente pequeña de los propios componentes giratorios del generador diésel volviera a su velocidad original, más lenta, para igualar las frecuencias de sus vecinos.
En las pantallas del centro de visitantes, la audiencia reunida observó cómo la máquina gigante se sacudía con una violencia repentina y terrible, emitiendo un sonido como el profundo crujido de un látigo. Todo el proceso, desde el momento en que se activó el código malicioso hasta el primer escalofrío, había durado solo una fracción de segundo.
Trozos negros comenzaron a salir volando de un panel de acceso en el generador, que los investigadores habían dejado abierto para observar sus partes internas. En el interior, la arandela de goma negra que unía las dos mitades del eje del generador se estaba rompiendo.
Unos segundos después, la máquina volvió a temblar cuando el código del relé de protección repitió su ciclo de sabotaje, desconectando la máquina y volviéndola a conectar sin sincronizar. Esta vez, una nube de humo gris comenzó a salir del generador, tal vez como resultado de los restos de goma que se quemaban en su interior.
Assante, a pesar de los meses de esfuerzo y de los millones de dólares en fondos federales que había gastado en desarrollar el ataque que estaban presenciando, de alguna manera sintió una especie de simpatía por la máquina mientras la destrozaban desde dentro. “Te encuentras apoyándolo, como el pequeño motor que podría”, recordó Assante. “Estaba pensando, ‘¡Puedes hacerlo!'”
La máquina no lo hizo. Después de un tercer impacto, lanzó una nube más grande de humo gris. “Ese motor principal es pan tostado”, dijo un ingeniero junto a Assante. Después de un cuarto golpe, una columna de humo negro se elevó desde la máquina a 30 pies en el aire en un estertor final.
El director de pruebas terminó el experimento y desconectó el generador en ruinas de la red por última vez, dejándolo mortalmente quieto. En el análisis forense que siguió, los investigadores del laboratorio encontrarían que el eje del motor había chocado con la pared interna del motor, dejando profundas hendiduras en ambos y llenando el interior de la máquina con virutas de metal. Al otro lado del generador, su cableado y aislamiento se habían derretido y quemado. La máquina fue totalizada.
A raíz de la manifestación, se hizo un silencio sobre el centro de visitantes. “Fue un momento de sobriedad”, recuerda Assante. Los ingenieros acababan de demostrar sin lugar a dudas que los piratas informáticos que atacaban una empresa eléctrica podían ir más allá de una interrupción temporal de las operaciones de la víctima: podían dañar sus equipos más críticos sin posibilidad de reparación. “Fue tan vívido. Podrías imaginar que le pasara a una máquina en una planta real, y sería terrible ”, dice Assante. “La implicación era que con solo unas pocas líneas de código, se pueden crear condiciones que serían físicamente muy dañinas para las máquinas en las que confiamos”.
Pero Assante también recuerda haber sentido algo más pesado en los momentos posteriores al experimento Aurora. Tenía la sensación de que, al igual que Robert Oppenheimer viendo la primera prueba de la bomba atómica en otro laboratorio nacional de EE. UU. Seis décadas antes, estaba presenciando el nacimiento de algo histórico e inmensamente poderoso.
“Tenía un verdadero hoyo en el estómago”, dice Assante. “Fue como un vistazo al futuro”.
Del libro Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers | Copyright © 2019 por Andy Greenberg. Reimpreso con permiso de Anchor Books, una impresión de The Knopf Doubleday Publishing Group, una división de Penguin Random House LLC.
Fuente: https://www.wired.com/story/how-30-lines-of-code-blew-up-27-ton-generator/