Una fábrica de alimentos estuvo a punto de quedarse sin provisiones por un ciberataque. Los hackers no atacaron la vitrina, sino las cámaras frigoríficas.
Tras una larga búsqueda, los ingenieros descubrieron que la supuesta avería de hardware tenía origen externo.
Incluso cuando en la línea del frente hay calma, los ataques pueden continuar en otro ámbito. Los especialistas de Profero describieron una ciberoperación, en la que hackers iraníes atacaron simultáneamente la red de oficina y el equipo industrial de una empresa alimentaria israelí, donde la avería pudo traducirse en pérdida de producto y una larga parada.
El incidente comenzó con un aumento de la temperatura en las cámaras frigoríficas. Los ingenieros esperaban una avería habitual del compresor o de una válvula, pero hallaron indicios de manipulación en los controladores del sistema frigorífico industrial. Desconocidos modificaron los ajustes de temperatura, los límites de seguridad y los modos de funcionamiento de las válvulas, y después cambiaron las credenciales en el controlador central. El personal perdió acceso remoto al equipo en el momento en que el sistema ya funcionaba mal.
Según Profero, detrás del ataque está el grupo Cyber Isnaad Front, que la compañía atribuye a la iraní Aria Sepehr Ayandehsazan (ASA), vinculada con Cuerpo de Guardianes de la Revolución Islámica (CGRI). A la ASA se la considera sucesora de Emennet Pasargad, que fue sancionada por EE. UU. por operaciones cibernéticas de influencia. El grupo se presenta como un colectivo hacktivista independiente, pero Profero considera que esa imagen pública sirve de cobertura para operaciones contra objetivos israelíes.
En los servidores Windows de la planta, los especialistas encontraron el malware GRAT. Se camuflaba como componentes de Microsoft, se asentaba mediante una tarea llamada «OneDrive Update» y podía recopilar información del sistema, gestionar procesos, modificar el registro, activar VNC, robar archivos, cifrar datos y borrar discos por completo. Los comandos llegaban a través de RabbitMQ por TLS, y los resultados se devolvían vía Redis al servidor 84[.]201[.]6[.]131.
El ataque al circuito industrial resultó igualmente peligroso. En el sistema frigorífico antiguo los atacantes cambiaron parámetros de funcionamiento, y en el nuevo borraron y restablecieron la configuración del controlador. Los ingenieros tuvieron que volver a asociar el cableado, los sensores, las salidas y los esquemas de control. Después, los intrusos pusieron las válvulas motorizadas en modo manual y las fijaron en posición abierta, lo que provocó un movimiento incorrecto del refrigerante CO2 y la avería de tres compresores.
La recuperación llevó varios días y requirió el reemplazo de compresores, válvulas, filtros, relés de presión y otros componentes. Profero subraya que el ataque no se limitó al robo de datos. Los operadores sabían cómo funciona el equipo frigorífico y usaron los ajustes estándar de los controladores para causar daño físico.
La compañía recomienda buscar tareas sospechosas con nombres de productos de Microsoft, verificar las conexiones con la infraestructura señalada, aislar los hosts infectados y conservar copias fuera de línea de las configuraciones de los controladores. Para redes industriales son especialmente importantes la segmentación, el control del acceso remoto y las alertas no solo por los valores de los sensores, sino también por los cambios en los modos de funcionamiento.