A finales de diciembre, un ataque coordinado dirigió su foco a la red eléctrica de Polonia, afectando a varias instalaciones de recursos energéticos distribuidos (RED) en todo el país, incluida la cogeneración (CHP) y sistemas de energía eólica y solar.
A pesar de que los atacantes comprometieron los sistemas de tecnología operativa (OT), causando daños irreparables a equipos cruciales, no lograron interrumpir el suministro eléctrico, que equivale a 1,2 GW, o el 5% de la energía total de Polonia.
Según fuentes oficiales, se han confirmado al menos 12 instalaciones afectadas. Sin embargo, algunos investigadores estiman que la cifra real es de alrededor de 30.
Errores y configuraciones deficientes
Investigadores de Dragos, una empresa especializada en la seguridad de infraestructuras críticas (OT) y sistemas de control (ICS), proporcionaron más información sobre el ataque, indicando que la falta de cortes de energía no debe minimizar la gravedad del incidente, sino interpretarse como una alerta sobre la vulnerabilidad de los sistemas energéticos descentralizados.
«Atacar una red eléctrica en cualquier momento es irresponsable, pero hacerlo en pleno invierno puede ser letal para la población civil que depende de ella», menciona el informe de Dragos. «Es preocupante que quienes perpetran estos ataques parezcan escoger deliberadamente el momento óptimo para maximizar su impacto en la población civil».
Dragos atribuye el ataque a un actor de amenazas ruso conocido como
Electrum. Si bien hay similitudes con Sandworm (APT44), los investigadores enfatizan que se trata de un grupo de actividad distinto.
Recientemente, ESET publicó un informe sobre APT44, relacionándolo con intentos fallidos de ataques destructivos contra la red eléctrica polaca a través del malware DynoWiper. Dragos también vincula a Electrum con otros «limpiadores» utilizados contra redes ucranianas, como Caddywiper y Industroyer2, y resalta que las operaciones de este grupo de amenazas se han expandido a más naciones.
Electrum atacó sistemas expuestos y vulnerables relacionados con el manejo y la comunicación de la red, incluidas terminales remotas (RTU), dispositivos de borde de red, sistemas de monitoreo y control, así como equipos Windows en las instalaciones DER.
Un atacante cualificado
A partir de la evidencia recabada durante la respuesta a un incidente en una de las instalaciones afectadas, Dragos concluye que los atacantes demostraron un profundo conocimiento sobre cómo están implementados y operan estos dispositivos, comprometiendo frecuentemente configuraciones similares de RTU y dispositivos de borde en diversas instalaciones.
Electrum logró desactivar con éxito los equipos de comunicación en varias instalaciones, lo que resultó en la pérdida de capacidad de monitoreo y control remoto, aunque la generación de energía en las unidades se mantuvo ininterrumpida.
Algunos dispositivos OT/ICS fueron deshabilitados y sus configuraciones quedaron irrevocablemente corruptas, mientras que los sistemas Windows en las instalaciones fueron eliminados.
Incluso si los ataques hubieran logrado cortar el suministro eléctrico, el alcance relativamente limitado del ataque no habría sido suficiente para provocar un apagón nacional en Polonia.
Sin embargo, podrían haber ocasionado una desestabilización significativa de la frecuencia del sistema. «Estas desviaciones de frecuencia han llevado a fallos en cadena en otros sistemas eléctricos, como el colapso de la red ibérica en 2025», advierten los investigadores.
Fuente:
BC
Con Información de blog.segu-info.com.ar