Cómo 30 líneas de código hicieron estallar un generador de 27 toneladas
Un experimento secreto en 2007 demostró que los piratas informáticos podían destruir la red eléctrica sin posibilidad de reparación, con solo un archivo no más grande que un GIF normal.
A principios de esta semana, el Departamento de Justicia de EE. UU. emitió una acusación contra un grupo de piratas informáticos conocido como Sandworm. En el documento, seis piratas informáticos que supuestamente trabajaban para la agencia de inteligencia militar rusa GRU fueron acusados de delitos informáticos relacionados con ataques cibernéticos en todo el mundo, desde sabotear los Juegos Olímpicos de Invierno de 2018 en Corea hasta propagar el malware más destructivo en la historia de Ucrania.
El ataque a la red eléctrica de Ucrania en 2016 parece haber sido diseñado no solo para cortar la energía, sino también para causar daños físicos a los equipos eléctricos. Y cuando un investigador de seguridad cibernética llamado Mike Assante profundizó en los detalles de este ataque, se dio cuenta de que el hack no fue inventado por piratas informáticos rusos, sino por el gobierno de EE. UU., y ya había sido probado una década antes.
WIRED publicó un artículo con un extracto del libro SANDWORM: A New Era of Cyberwarfare and the Hunt for the Kremlin’s Most Dangerous Hackers, publicado la semana pasada. Lo hemos traducido y lo invitamos a leer una historia fascinante sobre uno de los primeros experimentos exitosos en la piratería de redes. Hoy en día, todavía sirve como una poderosa advertencia de los efectos potenciales de los ataques cibernéticos en el mundo físico y una sombría premonición de los próximos ataques de Sandworm.
En una mañana fría y ventosa de marzo de 2007, Mike Assante llegó al Laboratorio Nacional de Idaho 32 millas al oeste de Idaho Falls, un edificio en medio de un enorme paisaje desértico cubierto de nieve y artemisa. Entró en el pasillo dentro del centro de visitantes donde se estaba reuniendo una pequeña multitud. El equipo incluía funcionarios del Departamento de Seguridad Nacional, el Departamento de Energía y la Corporación de Confiabilidad Eléctrica de América del Norte (NERC), ejecutivos de varias empresas eléctricas de todo el país y otros investigadores e ingenieros que, como Assante, se encargaron de la Laboratorio Nacional para llevar a cabo sus días en la imaginación de las amenazas catastróficas a la infraestructura crítica de Estados Unidos.
Al frente de la sala había una serie de monitores de video y enlaces de datos colocados frente a los asientos del estadio en la sala, como el centro de control de vuelo del lanzamiento de un cohete. Las pantallas mostraban transmisión en vivo desde varios ángulos del enorme generador diesel. El automóvil era del tamaño de un autobús escolar, verde menta, una gigantesca masa de acero que pesaba 27 toneladas, casi lo mismo que un tanque M3 Bradley. Estaba a un kilómetro y medio del auditorio, en una subestación eléctrica, que producía suficiente electricidad para alimentar un hospital o un buque de guerra, y emitía un rugido constante. Las ondas de calor que emanan de su superficie sacudieron el horizonte en la imagen de la transmisión de video.
Assante y sus colegas investigadores del INL compraron un generador de $ 300,000 en un campo petrolero en Alaska. Lo enviaron miles de millas al Idaho Proving Ground, un terreno de 890 millas cuadradas donde el laboratorio nacional mantuvo una red eléctrica considerable para fines de prueba, completa con 100 kilómetros de líneas de transmisión y siete subestaciones eléctricas.
Ahora que Assante había hecho bien su trabajo, iban a destruirla. Y los investigadores reunidos planearon destruir este mecanismo muy costoso y duradero, no con ninguna herramienta o arma física, sino con alrededor de 140 kilobytes de datos, un archivo más pequeño que el GIF de gato promedio publicado en Twitter hoy.
Hace tres años, Assante era el jefe de seguridad de American Electric Power ., una empresa de servicios públicos con millones de clientes en 11 estados desde Texas hasta Kentucky. Assante, ex oficial de la Marina convertido en ingeniero de ciberseguridad, era muy consciente de la posibilidad de ataques de piratas informáticos en la red eléctrica. Pero estaba consternado al ver que la mayoría de sus colegas en la industria eléctrica tenían una visión relativamente simplista de esta amenaza aún teórica y lejana. Si los piratas informáticos de alguna manera ingresaban a la red de la empresa de servicios públicos y comenzaban a abrir los interruptores automáticos, la industria pensó en ese momento que el personal podría simplemente expulsar a los intrusos de la red y volver a encenderla. “Podríamos manejarlo como una tormenta", recuerda Assante las palabras de sus colegas. “Como se suponía que debía ser, sería como un cierre y nos recuperaríamos de la falla, y ese era el límite de pensar en el modelo de riesgo”.
Pero a Assante, que tenía un nivel poco común de conocimiento sobre la diafonía entre la arquitectura de la red eléctrica y la seguridad informática, se le ocurrió una idea más complicada. ¿Qué pasaría si los atacantes no solo se hicieran cargo de los sistemas de control de los operadores de red para cambiar los interruptores y provocar cortes de energía momentáneos, sino que reprogramaran elementos de red automatizados, componentes que tomaran sus propias decisiones sobre el funcionamiento de la red sin consultar con nadie?
Específicamente, Assante estaba pensando en un dispositivo llamado relé de protección. Los relés de protección están diseñados para funcionar como un mecanismo de protección contra condiciones físicas peligrosas en los sistemas eléctricos. Si las líneas se sobrecalientan o el generador se desincroniza, son estos relés de protección los que detectan la anomalía y abren el disyuntor, apagando la ubicación de la falla, salvando equipos valiosos e incluso evitando incendios. El relé de protección actúa como una especie de salvavidas para la red.
Pero, ¿y si ese relé de protección pudiera paralizarse o, peor aún, dañarse de modo que se convirtiera en una vía de acceso para la carga útil de un atacante?
Esta inquietante pregunta se le planteó a Assante en el Laboratorio Nacional de Idaho mientras trabajaba en la industria de la energía eléctrica. Ahora, en el centro de visitantes del sitio de prueba del laboratorio, él y sus compañeros ingenieros estaban a punto de poner en práctica su idea más perversa. El experimento secreto recibió un nombre en clave que se convertiría en sinónimo de la posibilidad de ataques digitales con consecuencias físicas: Aurora.
El director de pruebas leyó la hora: 11:33. Verificó con el ingeniero de seguridad que no hubiera extraños alrededor del generador diesel del laboratorio. Luego dio luz verde a uno de los investigadores de ciberseguridad en la oficina del Laboratorio Nacional en Idaho Falls para lanzar el ataque. Como cualquier verdadero sabotaje digital, éste se llevará a cabo a kilómetros y kilómetros de distancia, a través de Internet. En respuesta, el pirata informático simulado envió aproximadamente treinta líneas de código desde su automóvil a un relé de seguridad conectado a un generador diésel del tamaño de un autobús.
El interior de este generador, hasta el momento de ser saboteado, realizaba una especie de danza invisible, perfectamente armonizada con la red eléctrica a la que estaba conectado. El combustible diesel en sus cámaras se roció y explotó con una sincronización inhumana para mover los pistones que giraban una barra de acero dentro de un motor generador (el conjunto completo se conocía como el "motor principal") unas 600 veces por minuto. Esta rotación se realizaba a través de un buje de goma diseñado para amortiguar cualquier vibración, y luego a los componentes generadores de electricidad: una barra apalancada enrollada con alambre de cobre, encerrada entre dos imanes masivos, de modo que cada rotación inducía una corriente eléctrica en los cables. Gira esta masa de cobre enrollado lo suficientemente rápido,
El relé de seguridad acoplado a este generador fue diseñado para evitar que se conecte al resto de la red eléctrica sin antes sincronizarlo al ritmo exacto: 60 hercios. Pero el hacker Assante en Idaho Falls acaba de reprogramar ese dispositivo de seguridad, cambiando su lógica de cabeza.
A las 11:33 y 23 segundos, el relé de protección detectó que el generador estaba perfectamente sincronizado. Pero luego su cerebro retorcido hizo lo contrario de lo que fue diseñado: abrió un interruptor automático para apagar la máquina.
Cuando el generador se desconectó de la red eléctrica más grande del Laboratorio Nacional de Idaho y se liberó de la carga de dividir ese vasto sistema, instantáneamente comenzó a acelerar, girando más rápido. Tan pronto como el relé de seguridad detectó que la rotación del generador había aumentado hasta quedar completamente desincronizada con el resto de la red, su lógica, deliberadamente invertida por el hacker, lo conectó inmediatamente al mecanismo de la red.
En el momento en que el generador diesel se volvió a conectar al sistema más grande, fue golpeado con la fuerza fatal de cualquier otro generador giratorio en la red. Todo este equipo devolvió la masa relativamente pequeña de los componentes giratorios del generador diesel a su velocidad original más lenta para igualar las frecuencias de sus vecinos.
En las pantallas, la audiencia reunida vio cómo la gigantesca máquina se estremecía con una fuerza repentina y terrible, emitiendo un sonido como de latigazos. Todo el proceso desde el momento en que se lanzó el código malicioso hasta el primer temblor tomó solo una fracción de segundo.
Trozos negros comenzaron a salir volando del panel de acceso del generador, que los investigadores habían dejado abierto para observar su interior. En el interior, el casquillo de goma negra que conectaba las dos mitades del eje del generador estaba desgarrado.
Segundos después, la máquina volvió a temblar cuando el código del relé de seguridad repitió su ciclo de sabotaje, apagando y encendiendo la máquina de forma desincronizada. Esta vez, una nube de humo gris comenzó a salir del generador, posiblemente como resultado de las piezas de goma quemadas en su interior.
Assante, a pesar de meses de esfuerzo y millones de dólares en fondos federales que gastó en desarrollar el ataque del que fue testigo, de alguna manera sintió cierta simpatía por la máquina mientras estaba siendo destrozada por dentro. “Empiezas a alentarlo como un pequeño motor”, recordó Assante. "Pensé, ‘¡Puedes hacerlo!’"
El coche no sobrevivió. Después del tercer golpe, lanzó una nube más grande de humo gris. Después del cuarto impacto, un chorro de humo negro se elevó 10 metros por encima del automóvil en el aire.
El director de pruebas terminó el experimento y desconectó el generador destruido de la red eléctrica por última vez, dejándolo mortalmente inmóvil. En un análisis forense posterior, los investigadores del laboratorio encontraron que el eje del motor había chocado con la pared interior del motor, dejando profundas hendiduras en ambos lados y llenando el interior de la máquina con virutas de metal. En el otro lado del generador, su cableado y aislamiento se fundieron y quemaron. El auto quedó destruido.
El silencio reinó en el centro de visitantes tras la manifestación. “Fue un momento sobrio”, recuerda Assante. Los ingenieros acaban de demostrar sin lugar a dudas que los piratas informáticos que atacan una red eléctrica pueden ir más allá de interrumpir temporalmente el trabajo de la víctima: pueden dañar su equipo más crítico sin posibilidad de reparación. “Imagine lo que le pasaría a una máquina en una fábrica real, sería terrible”, dice Assante. "Con solo unas pocas líneas de código, puede crear condiciones que físicamente pueden causar daños graves a las máquinas en las que confiamos".
Pero Assante también recuerda haber sentido algo más serio en los momentos posteriores al experimento Aurora. Había una sensación de que, como Robert Oppenheimer viendo la primera prueba de bomba atómica en otro laboratorio nacional de EE. UU. seis décadas antes, estaba presenciando el nacimiento de algo histórico y extremadamente poderoso.
Según Wired.