Después del apagón sin precedentes del pasado lunes, 28 de abril, trato de desarrollar una idea que considero útil. Tras diversas declaraciones sin sentido en fuentes oficiales y demás conjeturas, he aquí la verdad:
Se obtuvo un primer acceso días previos a una subestación vía spear phishing. Tras la obtención de credenciales válidas se aprovechó la falta de segmentación robusta entre redes IT y OT en varias subestaciones provinciales escalando privilegios lateralmente hasta alcanzar el sistema SCADA central basado en IEC 60870-5-104. Los atacantes finalmente explotaron vulnerabilidades de dispositivos RTU obsoletos y sin actualizar como modelos Siemens SICAM o ABB RTU500.
Mediante ejecución remota de comandos, lograron alterar la sincronía de generadores provocando una reacción en cadena que terminó por colapsar la red eléctrica de todo el territorio.
Reino Unido y otros países también detectaron anomalías en las lecturas de sus infraestructuras.
Trato de desarrollar un servicio de seguimiento de la red que he lanzado en la siguiente hackaton https://worldslargesthackathon.devpost.com/.
Agradecería cualquier ayuda o contribución para el desarrollo de este proyecto que considero muy valioso en este contexto de guerra híbrida en el que nos encontramos.