Múltiples empresas europeas, especializadas en el almacenamiento, carga, descarga, y distribución de combustible están siendo agredidas mediante ciberataques a sus sistemas. Entre ellas dos de las mayores empresas alemanas de almacenamiento y suministro de combustible, además de importantes terminales portuarias que conforman el denominado Nodo de Refinamiento de Hidrocarburos ARA (Amsterdam, Rotterdam y Antwerp) de Bélgica y Holanda.

Esta serie de ciberincidentes contra infraestructuras tan críticas como el suministro de productos derivados de hidrocarburos se produce en un momento de creciente tensión internacional por el conflicto Rusia-Ucrania y en un clima de incertidumbre tras la advertencia de algunas agencias de seguridad de países europeos, sobre la posibilidad de que se produzca un aumento de ciberataques perpetrados por grupos de ciberdelincuentes de origen ruso o patrocinados por este gobierno.

La situación en Europa es aún más crítica considerando que se encuentra en plena época invernal y con el mercado energético bajo estrés por el continuo descenso del inventario de hidrocarburos y sus derivados, sumado al incremento en los precios del petróleo, cuya curva de ascenso lleva ya siete años consecutivos. Todo ello en medio de las tensiones diplomáticas con Rusia, a la sazón el principal proveedor de gas a Europa, razón por la cual los expertos internacionales prevén que estos ciberataques tendrán consecuencias en la economía europea que ya atraviesa un contexto inflacionario.

Oiltanking y Mabanaft en Alemania

En los últimos días de enero 2022 se reporta un grave ciberataque a los sistemas informáticos del principal proveedor de combustible de Alemania, evento sobre el que dieron cuenta tempranamente medios periodísticos locales como Handelsblatt y Der Spiegel.

El sábado 29 Oiltanking Deutschland GmbH & Co. KG (Oiltanking) descubre que está siendo víctima de un ciberataque, por lo que se vio forzada a operar a una «capacidad limitada» que generó demoras y cancelaciones en la matriz de distribución de combustible sobre el territorio germano. Ante esa situación se apresuró a declarar raudamente la «situación de fuerza mayor» para eximirse de la responsabilidad de responder a sus obligaciones contractuales con sus clientes, entre los que se encuentran numerosas empresas como la propia Shell que debió recurrir a proveedores alternativos para reducir las interrupciones.

Según Handelsblatt el incidente provocó la paralización de todas las operaciones de carga y descarga de la empresa en Hamburgo, además de impactar en más de una decena de terminales distribuidas en Alemania: Endorf, Berlin, Duisburg, Frankfurt am Main, Gera, Hamburgo, Blumensand, Hamburg-Waltershof, Hamm, Hanau, Karlsruhe y Rheinau-Honau.

Oiltanking opera desde 1972 en Hamburgo como proveedor independiente de almacenamiento en tanques para el mercado mundial de derivados del petróleo, productos químicos y biocombustibles.

Fuente: Oiltanking

Si bien la empresa informó que el mencionado ciberataque sólo había afectado los sistemas de la unidad de negocios Oiltanking Deutschland GmbH y sus operaciones en Alemania, cabe mencionar que el grupo comercial en su conjunto controla y opera más de 40 terminales en 23 países. Además entrega servicios de procesamiento en los sectores de refinación y comercialización y servicios especializados de ingeniería. En América Latina cuenta con terminales en Argentina (Puerto Rosales y Brandsen), Brasil (Rio de Janeiro), Perú (Callao, Miraflores, Chimbote, Trujillo, Pisco) , Colombia (Cartagena), Panamá (Colón) y México (Veracruz).

El ciberataque también afectó a la empresa Mabanaft GmbH & Co. KG (Mabanaft) Group, distribuidora de hidrocarburos. Ambas empresas son subsidiarias del Grupo Marquard & Bahls de Hamburgo. Esta empresa importa, vende al por mayor y suministra combustible para sistemas de calefacción, gasolina, combustible diesel, combustible para aviación y otros derivados. Mabanaft, según AP News, también declaró encontrarse en situación de fuerza mayor para la mayoría de las actividades de provisión de combustible sobre territorio alemán.

«Todos los sistemas de carga y descarga de Oiltanking están paralizados». (Fuente: Handelsblatt)

El incidente obligó a las empresas a desconectar los sistemas de Tecnología Operacional (OT), tal como ocurrió en mayo 2021 durante el ciberataque a los sistemas IT de Colonial Pipeline en EEUU. Los sistemas OT son por ejemplo los sistemas automatizados que se emplean para la carga y descarga de combustibles desde los tanques de almacenamiento. Esta tarea sólo puede efectuarse de manera manual en forma extremadamente limitada dado el volumen de operaciones que manejan estas empresas, por lo que afecta directamente a la carga de combustible en las unidades de distribución como camiones cisterna y barcazas.

Considero que este incidente es serio, pero no es grave»

Arne Schonbohm, presidente de la oficina federal de seguridad de la información

«El ataque no pone en peligro el suministro de combustible, y otros derivados, en la República Federal de Alemania», según las declaraciones de Frank Shaper, director de la Asociación de Tanques de Almacenamiento de Combustible. Esto se debe al hecho que existen en Alemania 26 empresas que se encuentran activas en el mercado de tanques de suministro de combustible, empresas que podrán ser utilizadas como fuentes de provisión alternativa. Sin embargo, Arne Schonbohm no relativiza la seriedad del impacto del ciberataque. Cabe sólo tener en cuenta que las dos empresas afectadas producen alrededor de 1,6 millones de gasolina y 2,1 millones de fuel oil al año y que el incidente impacta de manera directa en más de 230 estaciones de servicio ubicadas en la región norte de Alemania. Según Reuters, a esta solución también recurrió Aral, la principal red de estaciones de servicios del país con alrededor de 2300 puntos de distribución de combustible, ante la cancelación de las operaciones de Oiltanking.

El nodo ARA de Bélgica y Holanda

Tras los incidentes en Hamburgo, otras terminales europeas comenzaron a reportar incidentes. Es el caso de Bélgica en los puertos de Ghent y Antwerp-Zeebrugge y de Holanda en las terminales de Amsterdam y Termeuze que controlan las empresas SEA-Invest (y que opera SEA-Tank), Evos y…..OILTANKING!

El Grupo empresario belga SEA-Invest de Ghent podría haber sido el más afectado por el ciberataque que se habría iniciado el día viernes 28 de enero. Según el medio belga De Tijd, la empresa tuvo que paralizar las operaciones en todas las terminales internacionales. SEA-Invest, además de su actividad en el sector de hidrocarburos, es una de las empresas líderes mundiales de transporte y almacenamiento de frutas frescas y productos alimenticios.

Inicialmente Evos reportó que sólo una de las dos terminales que opera en Amsterdam resultó afectada. Se trata de la terminal Amsterdam-East que fuera justamente adquirida en 2021 por la alemana Oiltanking. Horas más tarde Evos tuvo que reconocer que el ciberataque impactó en la terminal Birzebugga que la empresa posee en Malta, el archipiélago ubicado entre Sicilia y la costa norte de África. Esta terminal había sido a su vez adquirida por Evos a Oiltanking también en 2021 como parte de una operación de compra y venta de activos entre ambas empresas.

Terminal Birzebugga – Fuente: Malta Today

Las seis facilidades portuarias afectadas del nodo ARA en el Norte de Europa se dedican al almacenamiento, carga y descarga de combustible. Las interrupciones operativas generadas por los ciberataques imposibilitaron por lo tanto las operaciones de carga y descarga desde barcazas, provocando el lógico congestionamiento en los accesos a los puertos mencionados.

Fuente: Ports today

¿Quién está detrás de estos ciberataques?

Como es habitual en estos casos, ninguna de las empresas han comunicado en forma oficial detalles del ciberataque, más allá de la clásica referencia a los sistemas TI (Tecnología de la Información). Tampoco declararon si, tal como ocurriera con Colonial Pipeline de EEUU, fueron víctimas de ransomware.

Sin embargo el incidente se produce a sólo unos días de que la Agencia de Inteligencia Nacional de Alemania (Bun­des­amt für Ver­fas­sungs­schutz – BfV – Oficina Federal para la Protección de la Constitución) advirtiera sobre la existencia de un peligro cada vez mayor de ataques de piratas informáticos chinos, particularmente el Grupo APT-27, para las empresas alemanas.

Fuente: Gnews.org

El Grupo APT-27, también conocido como TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger o LuckyMouse, opera de manera activa desde 2010 y sus primeras acciones estuvieron dirigidas a embajadas extranjeras con la finalidad de robar información relacionada con los sectores de gobierno, defensa y tecnología. Pero desde principios de 2021 diversos investigadores del área de ciberseguridad coincidieron en que el grupo de piratas informáticos chinos habían comenzado a incursionar en actividades vinculadas al ransomware.

Según la inteligencia alemana APT-27 había comenzado a explotar vulnerabilidades presentes en software como base para iniciar sus campañas de delitos informáticos, intentando además infiltrarse en las redes informáticas de empresas de tecnología y farmacéuticas, así como de sus clientes y proveedores de servicios, para efectuar ataques del tipo cadena de suministro. Sus investigaciones habrían detectado la presencia de malware, el troyano RAT HyperBro en el software Zoho AdSelf Service Plus, una solución de gestión de contraseñas muy utilizado en las empresas alemanas, particularmente para Active Directory y aplicaciones en la nube.

HyperBro infection chain
Secuencia de Ataque HyperBro – Fuente BfV

Ante la ausencia de mayores datos, las sospechas mediáticas iniciales apuntaron a este Grupo, pero luego pudo conocerse a través de funcionarios europeos que participaron de las investigaciones en curso que los sistemas IT de las empresas europeas habrían sido afectadas por una combinación de ransomware Conti y BlackCat. Según el medio Handelsblatt, un informe interno de la germana BSI (Oficina Federal de Seguridad de la Información) habría señalado al Grupo BlackCat como responsable de los ciberataques a las empresas alemanas.

Recientemente descubierto (Nov-Dic 2021) por investigadores de ciberamenazas de Recorded Future y MalwareHunterTeam, el ransomware ALPHV o » BlackCat «se ofrece como servicio en los foros de ciberdelitos Exploit y XSS. Se cree que su autor estaría vinculado al Grupo REvil.

Fuente: Windowsreport

El Grupo de Ciberdelincuentes homónimo es considerado el primer grupo profesional de ciberdelincuencia que crear y utiliza una variedad de ransomware escrita en el lenguaje de programación Rust, considerado uno de los más seguros y por ello implementado en muchas de las soluciones de ciberseguridad que incorporan las organizaciones. Se desconoce el vector de entrada preferido por el momento pero está dirigido a los sistemas Windows, Linux y VMWare ESXi.Hasta este momento se conocían sólo víctimas en EEUU, India y Australia.

Por otra parte, Katrien Eggers, vocera del CCSB (Centro para la Ciberseguridad de Bélgica), la autoridad nacional en estos temas, sostuvo que «han iniciado una investigación judicial en Antwerp,…no tenemos indicios relativos a que los ciberataques se encuentren vinculados». El Centro Nacional de Ciberseguridad de Holanda habría emitido un comunicado donde establece que no creen que los ciberataques dirigidos a los sectores de hidrocarburos y químicos en Holanda, Bélgica y Alemania hayan sido coordinados y que no parecieran haber sido perpetrados por ciberdelincuentes patrocinados por algún Estado Nación.

Aún respetando las declaraciones oficiales de las autoridades de ciberseguridad de los países involucrados, cuesta creer que estos ciberataques no hayan estado coordinados y de alguna manera facilitados por la existencia de algunos puntos en común no sólo en el complejo entramado logístico de hidrocarburos que conecta a diferentes empresas de Alemania, Bélgica y Holanda sino también por la convergencia de tecnologías IT/OT.

OT: la tecnología desatendida

La denominación OT (Tecnología Operacional por su sigla en inglés) corresponde a una categoría que combina el hardware y software cuya tarea principal consiste en monitorear y controlar la forma en que operan determinados sistemas físicos. Años atrás la OT se empleaba principalmente en los sistemas de control industrial y, a diferencia de la IT (Tecnología de la Información por su sigla en inglés), no se encontraba conectada a una red informática. Muchas de las herramientas utilizadas eran de naturaleza mecánica e incluso aquellas más avanzadas que incluían controles digitales empleaban protocolos cerrados y software propietario. Pero con el avance de la IV Revolución Industrial, la convergencia de sistemas IT/OT se convirtió en una tendencia generalizada en todos los sectores industriales.

Fuente: ABS Group

A pesar que podríamos estar de acuerdo en la relevancia de estas tecnologías, la atención que ha demandado la vasta variedad de riesgos y amenazas a los sistemas IT hizo que, de alguna manera no deseada, la tecnología OT se desvaneciera en el horizonte de la ciberseguridad. Gran parte de las organizaciones olvidaron que la OT está expuesta a los mismos riesgos de seguridad que la IT, particularmente frente al malware, la gestión de identidad y el control de acceso. Pero lo que resulta aún más grave es que las vulnerabilidades presentes en los sistemas OT pueden facilitar operaciones de sabotaje a diferentes Infraestructuras Críticas cuyos resultados podrían ser nefastos para la vida en la sociedad moderna o incluso para la vida de los seres humanos.

Afectar elementos de la cadena de suministro de hidrocarburos y derivados durante la etapa invernal pone potencialmente en riesgo el bienestar y la seguridad de los ciudadanos. Este tipo de ciberataques demuestran los diferentes riesgos que representan los ciberdelincuentes para los sistemas claves que sostienen a las infraestructuras críticas y otros servicios esenciales.»

tim wade – director técnico de vectra

Tanto el caso del ciberataque a Colonial Pipeline en EEUU como estos últimos incidentes en Europa, ponen una vez más de manifiesto las vulnerabilidades de los sistemas OT, situación que se agrava profundamente con la convergencia con los sistemas IT. En todos los incidentes mencionados, ante lo que pareció ser un ciberataque a los sistemas IT de las diferentes empresas afectadas, las víctimas se vieron forzadas a detener las operaciones de los sistemas OT para evitar un daño aún mayor a las diversas infraestructuras críticas asociadas con las consecuencias que ya podemos imaginar.

También al analizar estos ciberataques y a juzgar por la respuesta de los gobiernos, tal como ocurrió en EEUU, no podemos dejar de considerar que los ciberdelincuentes pudieron haber alcanzado los sistemas OT, aunque las declaraciones oficiales sólo aludieron a los sistemas IT. Y si casi «ingenuamente» creemos que aún no lo hicieron, cabe preguntarnos entonces cuánto tiempo más demorarán en hacerlo.