Industroyer / CrashOverride
¿Qué es Industroyer / CrashOverride?
Industroyer / CrashOverrideMalware ICS modular usado en el ataque a la red eléctrica ucraniana de 2016 y actualizado como Industroyer2 en 2022, capaz de hablar los protocolos nativos de la red.
Industroyer (también llamado CrashOverride) es un framework de malware ICS modular utilizado por primera vez en diciembre de 2016 contra una subestación de transporte en Kiev (Ucrania), provocando un apagón de aproximadamente una hora. A diferencia de ataques anteriores, Industroyer implementaba directamente IEC 60870-5-101, IEC 60870-5-104, IEC 61850 y OPC DA, además de un módulo de denegación de servicio contra Siemens SIPROTEC, lo que le permitía enviar órdenes nativas a RTU, IED y relés de protección. ESET, Dragos y varios gobiernos occidentales han atribuido Industroyer al grupo Sandworm del GRU ruso. Un sucesor, Industroyer2, se descubrió en abril de 2022 durante un intento de ataque a una eléctrica ucraniana. El framework demuestra que los adversarios pueden construir herramientas ICS reutilizables y conscientes del protocolo.
● Ejemplos
- 01
Envío de órdenes IEC 60870-5-104 para abrir interruptores en una subestación ucraniana.
- 02
Uso de un módulo DoS contra SIPROTEC para tumbar relés de protección durante el ataque.
● Preguntas frecuentes
¿Qué es Industroyer / CrashOverride?
Malware ICS modular usado en el ataque a la red eléctrica ucraniana de 2016 y actualizado como Industroyer2 en 2022, capaz de hablar los protocolos nativos de la red. Pertenece a la categoría de OT / ICS / IoT en ciberseguridad.
¿Qué significa Industroyer / CrashOverride?
Malware ICS modular usado en el ataque a la red eléctrica ucraniana de 2016 y actualizado como Industroyer2 en 2022, capaz de hablar los protocolos nativos de la red.
¿Cómo funciona Industroyer / CrashOverride?
Industroyer (también llamado CrashOverride) es un framework de malware ICS modular utilizado por primera vez en diciembre de 2016 contra una subestación de transporte en Kiev (Ucrania), provocando un apagón de aproximadamente una hora. A diferencia de ataques anteriores, Industroyer implementaba directamente IEC 60870-5-101, IEC 60870-5-104, IEC 61850 y OPC DA, además de un módulo de denegación de servicio contra Siemens SIPROTEC, lo que le permitía enviar órdenes nativas a RTU, IED y relés de protección. ESET, Dragos y varios gobiernos occidentales han atribuido Industroyer al grupo Sandworm del GRU ruso. Un sucesor, Industroyer2, se descubrió en abril de 2022 durante un intento de ataque a una eléctrica ucraniana. El framework demuestra que los adversarios pueden construir herramientas ICS reutilizables y conscientes del protocolo.
¿Cómo defenderse de Industroyer / CrashOverride?
Las defensas contra Industroyer / CrashOverride combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Industroyer / CrashOverride?
Nombres alternativos comunes: CrashOverride, Industroyer2.
● Términos relacionados
- ot-iot№ 529
Sistema de Control Industrial (ICS)
Término que agrupa los sistemas que automatizan y supervisan procesos industriales, incluyendo SCADA, DCS, PLC, RTU y controladores de seguridad.
- ot-iot№ 972
SCADA
Sistemas de supervisión, control y adquisición de datos que recogen telemetría de dispositivos de campo remotos y permiten operar grandes procesos industriales.
- ot-iot№ 334
DNP3
Distributed Network Protocol 3, protocolo ICS orientado a eventos usado en eléctricas, agua y petróleo y gas para comunicar maestros SCADA con estaciones remotas.
- ot-iot№ 1111
Stuxnet
Gusano altamente sofisticado de 2010 que saboteó centrífugas de enriquecimiento de uranio iraníes reprogramando PLC Siemens, atribuido a EE. UU. e Israel.
- ot-iot№ 1174
TRITON / TRISIS
Malware descubierto en 2017 que atacaba sistemas instrumentados de seguridad Triconex de Schneider en una planta petroquímica saudí, atribuido a un actor vinculado a Rusia.
- ot-iot№ 762
Tecnología Operativa (OT)
Hardware y software que monitorizan y controlan procesos físicos, dispositivos e infraestructuras como fábricas, centrales eléctricas y servicios públicos.
● Véase también
- № 966Sandworm Team