Gigantes petroleros de Oriente Medio lidian con ciberataques

2021/07/26 16:45
Gigantes petroleros de Oriente Medio lidian con ciberataques

A medida que los mercados mundiales de petróleo y gas se están recuperando de la fuerte venta masiva del lunes pasado, las amenazas en el mercado no solo están vinculadas a las preocupaciones de oferta y demanda. Los especialistas en ciberseguridad informaron esta semana que los hackers lograron acceder a una gran cantidad de datos del gigante petrolero saudita Aramco. La compañía ha confirmado que alrededor de 1 TB de datos (confidenciales) fueron robados de sus servidores. Según fuentes de AP, los datos se han puesto en oferta en la darknet por un precio de 50 millones de dólares.

Por el momento, todavía se desconoce quién está detrás del robo de datos, pero algunos también están preocupados por el hecho de que las partes involucradas no están dando información adicional. La compañía petrolera Aramco, que cotiza en bolsa más grande del mundo, ha sido blanco de ciberataques de forma regular, como los conocidos ataques del virus Shamoon instigados por Irán. Este ataque más reciente a Aramco, muestra que queda mucho trabajo por hacer para proteger al gigante petrolero contra futuras violaciones de datos, ataques de ransomware y espionaje industrial. La violación de datos de Aramco muestra una vez más que la amenaza al suministro de energía proviene no solo de los ataques con drones y misiles, sino también de los ciberataques.

Desde el ataque de Shamoon, que paralizó a gran parte del gigante saudí, los saudíes han propuesto e implementado importantes programas de ciberseguridad. Sin embargo, incluso una empresa de un billón de dólares parece ser incapaz de proteger completamente su infraestructura digital.

Para las partes interesadas financieras, la situación actual es, por supuesto, de interés. Saudi Aramco está implementando una importante estrategia de reestructuración de empresas, centrada en los activos intermedios y descendentes. La violación de datos de 1 TB está vinculada, según las fuentes, especialmente a los activos y operaciones posteriores. La presión potencial de este "incumplimiento de contratistas externos" sobre desinversiones o planes de privatización, como el proyecto del oleoducto de Aramco, no debe descartarse de inmediato. Si los datos disponibles son mucho más detallados, especialmente sobre la configuración de precios o las estrategias financieras, el daño podría ser mucho mayor que el que se presenta actualmente en la prensa.

Las fuentes afirman que la "explotación de día cero" se ha utilizado para obtener acceso a los servidores. Los datos ahora están siendo ofrecidos por un grupo de actores de amenazas conocido como ZeroX . En declaraciones realizadas por ZeroX, el 1TB de datos ha sido robado en 2020 al hackear la "red y sus servidores" de Aramco. Los datos totales incluyen archivos de 1993 a 2020. En la darknet y otros sitios en Internet, ZeroX ha publicado muestras de los planos y documentos propietarios de Aramco. Los primeros datos ya se publicaron en un foro de mercado de violación de datos en junio de este año:

El conjunto de datos total, basado en la publicación inicial en el llamado sitio de fugas .onion tenía un temporizador de cuenta regresiva establecido en 662 horas, o aproximadamente 28 días, después de lo cual comenzarían la venta y las negociaciones. Si bien no está exactamente claro por qué los piratas informáticos fueron con un plazo de 662 horas, pero ZeroX según los informes, ha dicho que la elección de "662 horas", fue intencional y un "rompecabezas" para Saudi Aramco para resolver, pero la razón exacta detrás de la elección sigue sin estar clara. En un artículo informativo, ZeroX también ha declarado que el vertedero de 1 TB incluye documentos vinculados a las refinerías de Saudi Aramco ubicadas en múltiples ciudades de Arabia Saudita, incluidas Yanbu, Jazan, Jeddah, Ras Tanura, Riad y Dhahran. Alguna otra información muestra que incluye:

  1. Información completa sobre 14.254 empleados: nombre, foto, copia del pasaporte, correo electrónico, número de teléfono, número de permiso de residencia (tarjeta Iqama), cargo, números de identificación, información familiar, etc.

  2. Especificación de proyectos para sistemas relacionados con/incluyendo electricidad/energía, arquitectura, ingeniería, civil, gestión de la construcción, medio ambiente, maquinaria, buques, telecomunicaciones, etc.

  3. Informes de análisis interno, acuerdos, cartas, hojas de precios, etc.

  4. Diseño de red que mapea las direcciones IP, los puntos Scada, los puntos de acceso Wi-Fi, las cámaras IP y los dispositivos IoT.

  5. Mapa de ubicación y coordenadas precisas.

  6. Lista de clientes de Aramco, junto con facturas y contratos.

BleepingComputer informa que las muestras publicadas por ZeroX en el sitio de fugas tienen información de identificación personal (PII) redactada, y una muestra de 1 GB solo cuesta US $ 2,000, pagada a través de la criptomoneda Monero (XMR). ZeroX también ha declarado que el precio de todo el volcado de 1 TB se fija en US $ 5 millones si una parte quiere los derechos exclusivos para una venta única (es decir, obtener el volcado completo de 1 TB y exigir que se borre por completo del extremo de ZeroX) que necesita pagar la friolera de US $ 50 millones.

Todas las partes, incluyendo ZeroX y Aramco, han reiterado que el incidente no es un ataque de ransomware. Aramco ha repetido que la violación ocurrió en contratistas de terceros y que los sistemas de Aramco no estaban directamente involucrados. Un portavoz de la compañía repitió que la compañía continúa manteniendo una postura de ciberseguridad robusta. En cuanto a la 2012 Shamoon ataque, que destruyó 30,000 discos duros de la computadora de Aramco, la violación actual es menos peligroso. Aún así, cuando se observa el reciente ransomware global y otros ataques relacionados con el ciberespacio, como el Oleoducto Colonial o los supermercados europeos, la amenaza para Aramco y posiblemente otras compañías petroleras nacionales árabes es real.

Algunos también han declarado que el ataque ZeroX es el primero de tal vez una lista de próximos ataques cibernéticos en Aramco. A pesar de que la violación de datos actual se ejecutó a través de contratistas de terceros, muestra que los hackers lograron encontrar lagunas en los sistemas de ciberseguridad de las compañías de petróleo y gas.

Los analistas se rascarán la cabeza en los próximos meses sobre cómo lidiar y prevenir estas violaciones de datos o shamoon 2.0 ataques de ransomware. La actual digitalización del petróleo y el gas, incluidas las operaciones de upstream, down y midstream no solo es un avance positivo. La enorme cantidad de sensores, puntos de datos, operaciones de recopilación de información y monitoreo en tiempo real, en principio para reducir costos y aumentar los márgenes de ganancia, se ha convertido en un punto débil para las empresas. A medida que las estrategias de guerra cibernética de las potencias globales y regionales avanzan, los ataques podrían volverse mucho más sofisticados y se espera que la industria del petróleo y el gas siga siendo un objetivo clave.

Además, uno debe tomar las declaraciones sobre ciberseguridad de los funcionarios del gobierno o de la empresa en el Medio Oriente con una pizca de sal. Ninguna empresa o funcionario del gobierno mostrará nunca la parte posterior de su lengua cuando se le pida que comente. Si el caso Shamoon de 2012 es una línea de base para las evaluaciones y las discrepancias entre las declaraciones oficiales y la realidad, la situación actual podría ser mucho peor de lo esperado.