Ciberdelincuentes prorrusos comprometen sistemas críticos en una presa noruega y manipulan válvulas de desagüe

Introducción

En un preocupante incidente que pone de relieve la creciente sofisticación y agresividad de las amenazas cibernéticas a infraestructuras críticas, la Policía de Seguridad de Noruega (PST) ha confirmado que un grupo de hackers prorrusos logró tomar el control de los sistemas operativos de una presa hidroeléctrica noruega. Los atacantes, tras acceder a la red interna, abrieron válvulas de desagüe, lo que podría haber provocado graves consecuencias operativas, económicas y ambientales. Este ataque, que se enmarca en la tendencia creciente de ciberataques contra infraestructuras esenciales en Europa, subraya la necesidad urgente de reforzar la ciberseguridad en el sector energético y de servicios públicos.

Contexto del Incidente

El incidente se produjo a finales de mayo de 2024 y fue rápidamente detectado por los operadores de la presa, quienes alertaron a las autoridades. Según la PST, el ataque fue atribuido a un grupo de actores prorrusos vinculados a campañas previas de ciberataques dirigidos a infraestructuras críticas en Europa, especialmente desde el inicio de la guerra de Ucrania. La presa afectada no ha sido identificada públicamente por motivos de seguridad, pero fuentes del sector eléctrico noruego han confirmado que se trata de una instalación de importancia estratégica para el suministro energético regional.

El modus operandi de los atacantes se alineó con tácticas ya observadas en campañas dirigidas contra sistemas OT (Operational Technology) y SCADA (Supervisory Control And Data Acquisition) en Europa central y oriental, en las que se busca causar interrupciones físicas en infraestructuras a través del acceso remoto no autorizado.

Detalles Técnicos

Según el informe de la PST, los atacantes explotaron una vulnerabilidad conocida en los sistemas de gestión SCADA, concretamente una variante del CVE-2023-27889, que afecta a múltiples plataformas de control industrial utilizadas en el sector hidroeléctrico. El vector de ataque inicial fue un phishing dirigido a operadores con privilegios elevados, permitiendo la obtención de credenciales de acceso VPN. Posteriormente, los atacantes aprovecharon la falta de segmentación de red y la ausencia de autenticación multifactor (MFA) para moverse lateralmente hasta los sistemas de control de válvulas.

Las tácticas, técnicas y procedimientos (TTP) identificados corresponden a los descritos en MITRE ATT&CK para ICS, incluyendo:

– Initial Access: Spear Phishing Attachment (T1192)
– Lateral Movement: Remote Services (T1021)
– Execution: Valid Accounts (T1078)
– Impact: Manipulation of Control (T0850)

Los indicadores de compromiso (IoC) incluyen conexiones salientes no autorizadas desde los PLCs a direcciones IP asociadas a infraestructuras de Cobalt Strike y el uso de scripts Powershell para la escalada de privilegios. Se ha observado también la utilización de frameworks de explotación como Metasploit para pruebas de persistencia y movimientos laterales.

Impacto y Riesgos

Aunque la respuesta rápida evitó daños físicos mayores, la apertura no autorizada de las válvulas de desagüe provocó una pérdida controlada de agua y obligó a suspender temporalmente la producción energética. Las pérdidas económicas estimadas se sitúan en torno a los 2,5 millones de euros en costes operacionales y de reparación, sin contar el impacto potencial en la reputación de la empresa gestora.

Desde el punto de vista de riesgos, el incidente demuestra que la frontera entre IT y OT sigue siendo permeable, y que los sistemas industriales siguen siendo objetivos prioritarios para amenazas persistentes avanzadas (APT), especialmente en el actual contexto geopolítico. Adicionalmente, la exposición a sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la inminente entrada en vigor de la directiva NIS2 pone en jaque a operadores de infraestructuras críticas que no puedan demostrar un nivel adecuado de resiliencia cibernética.

Medidas de Mitigación y Recomendaciones

La PST y la Agencia Noruega de Ciberseguridad han emitido una serie de recomendaciones inmediatas para operadores de infraestructuras críticas:

– Implementar autenticación multifactor (MFA) en todos los accesos remotos y sesiones privilegiadas.
– Revisar y segmentar redes OT e IT, minimizando la exposición de interfaces críticas.
– Actualizar de inmediato los sistemas SCADA afectados, aplicando los parches de seguridad para CVE-2023-27889 y vulnerabilidades relacionadas.
– Monitorizar en tiempo real logs y tráfico de red en busca de IoC asociados a Cobalt Strike, Metasploit y otros frameworks ofensivos.
– Realizar simulacros de respuesta a incidentes específicos para amenazas OT, alineados con las mejores prácticas de NIST y ENISA.
– Revisar contratos y seguros frente a incidentes cibernéticos bajo el marco regulatorio europeo.

Opinión de Expertos

Especialistas en ciberseguridad industrial, como miembros del SANS ICS y consultores de Dragos, han advertido sobre la progresiva profesionalización de los grupos pro-rusos en la explotación de entornos industriales. Según el analista jefe de KPMG Noruega, “el ataque demuestra un conocimiento profundo de los entornos OT y una clara intención de provocar daño operacional, más allá de la simple exfiltración de datos”.

Implicaciones para Empresas y Usuarios

Este incidente refuerza la importancia de la ciberhigiene y la formación en seguridad para todos los empleados con acceso a sistemas críticos. Para las organizaciones, supone una llamada de atención sobre la necesidad de invertir en tecnologías de detección y respuesta OT (OT-EDR) y de revisar los planes de continuidad de negocio ante amenazas híbridas. Los usuarios finales, aunque no directamente afectados, podrían experimentar interrupciones en el suministro energético o aumentos de costes derivados de estos ataques.

Conclusiones

El ataque a la presa noruega representa un ejemplo paradigmático de la evolución de las amenazas a infraestructuras críticas en el contexto europeo. La convergencia de intereses geopolíticos y la sofisticación técnica de los actores obliga a repensar las estrategias de defensa y resiliencia en sectores estratégicos. La colaboración público-privada, la actualización tecnológica y el cumplimiento regulatorio serán claves para enfrentar una amenaza que, lejos de remitir, seguirá creciendo en los próximos años.

(Fuente: www.bleepingcomputer.com)