Un grupo de hackers chinos acusado este mes de febrero de estar relacionado con el ejército chino fue capturado en diciembre pasado mientras se infiltraba en un sistema de control del agua usado como señuelo de un municipio de EE.UU., según reveló un investigador la semana pasada.

El grupo, conocido como APT1, fue sorprendido por un proyecto de investigación que ofrece la prueba más importante hasta la fecha de que hay gente intentando activamente explotar las vulnerabilidades de los sistemas de control industriales. Muchos de estos sistemas están conectados a Internet para permitir el acceso remoto. APT1, también conocido como Comment Crew, fue atraído por un sistema de control ficticio creado por Kyle Wilhoit, investigador de la empresa de seguridad Trend Micro, que dio una charla sobre sus hallazgos en la reciente conferencia Black Hat de Las Vegas.

El ataque comenzó en diciembre de 2012, señala Wilhoit, cuando se utilizó un documento Word que ocultaba software malicioso para obtener acceso completo a su sistema de señuelo estadounidense, o honeypot. El malware utilizado, y otras características, eran exclusivos de APT1, que según la empresa de seguridad Mandiant funciona como parte del ejército de China.

"Se podría pensar que Comment Crew no iría detrás de una autoridad local del agua", señaló Wilhoit a MIT Technology Review, aunque el grupo claramente no atacó el honeypot por casualidad mientras buscaba otro objetivo. "De hecho, vi la interfaz del atacante con la máquina", asegura Wilhoit. "Estaba 100 por cien claro que sabían lo que estaban haciendo".

Wilhoit llegó a mostrar evidencias de que otros grupos de hackers, además de APT1, buscan intencionalmente y comprometen sistemas de plantas de agua. Entre marzo y junio de este año, 12 honeypots desplegados en ocho países diferentes atrajeron 74 ataques intencionales, 10 de los cuales fueron lo suficientemente sofisticados como para arrebatar el control completo del sistema de control simulado.

Se utilizó software en nube para crear un acceso realista basado en Internet y pantallas de configuración de plantas locales de agua, aparentemente basadas en Irlanda, Rusia, Singapur, China, Japón, Australia, Brasil y EE.UU. Si una persona iba más allá de las pantallas de acceso iniciales, encontraba paneles y sistemas para controlar el hardware de los sistemas de agua de la planta.

Ninguno de los ataques mostró un nivel particularmente alto de sofisticación, señala Wilhoit, pero claramente los atacantes sabían demasiado sobre el funcionamiento de los sistemas de control industriales, que pueden ponerse en peligro con mucha facilidad. Cuatro de los ataques mostraron un alto nivel de conocimiento acerca de los sistemas industriales, y utilizaron técnicas para meterse con un protocolo de comunicación específico utilizado para el control de hardware industrial.

Wilhoit utilizó una herramienta denominada Browser Exploitation Framework, o BeEF, para tener acceso a los sistemas de sus atacantes y obtener datos precisos sobre su ubicación. Fue capaz de acceder a datos de sus tarjetas wifi para triangular su ubicación.

Los 74 ataques a los honeypots provinieron de 16 países diferentes. La mayoría de los ataques no críticos, el 67 por ciento, se originaron en Rusia, y varios de ellos procedieron de EE.UU. Aproximadamente la mitad de los ataques críticos se originaron en China, y el resto en Alemania, Reino Unido, Francia, Palestina y Japón.

Los resultados hacen que Wilhoit llegue a la conclusión de que las plantas de agua y probablemente otras instalaciones de todo el mundo están siendo comprometidas con éxito y los atacantes externos están tomando el control, incluso si no se ha materializado ningún ataque importante. "Estos ataques están ocurriendo y los ingenieros probablemente no lo saben", señaló a MIT Technology Review.

Wilhoit publicó anteriormente el primer estudio que demostró que algunas personas estaban rastreando activamente Internet con la intención de poner en peligro los sistemas de control industrial. Ahora planea colocar honeypots dentro de instalaciones industriales reales para tratar de capturar los detalles de los ataques dirigidos.

Joe Weiss, socio gerente en Applied Control Solutions y experto en seguridad de sistemas de control industrial, aseguró a MIT Technology Review que esperaba que los hallazgos de Wilhoit pueden convencer a los propietarios y a los operadores de sistemas de control industriales para que se tomen la amenaza de los ataques con más seriedad. "La comunidad tiene que saber que hay personas que se dirigen explícitamente a estos sistemas", aseguró Weiss. "Espero que la gente pueda comprender lo válidos y reales que son sus hallazgos".