Calificado como el mayor ataque perpetrado conocido a la fecha, ocupa esta posición no solo por el increíble número de máquinas afectadas, sino también por la afectación a las operaciones de la empresa y los costos a los que se tuvo que incurrir para poder re establecer las operaciones nuevamente, casi 6 meses después del ataque.

El caso de Saudi Aramco es un caso complejo en todo sentido, empezando por el grupo que se adjudicaron el ataque. Se hicieron llamar “The Cutting Sword of Justice”. Indicando que el ataque se debió al apoyo y relación de la empresa con el régimen autoritario en Arabia Saudita. Existen las sospechas de parte de algunas entidades internacionales que el ataque pudo se promovido en realidad por Irán, como respuesta a un ataque anterior recibido por petroleras iraníes, esto por el el parecido en el código de ambos ataques. Una línea menor de pensamiento indica que ambos ataques podrían venir de un tercero interesado en desestabilizar el área, representado por Israel esta teoría se basa en el cogido que comparten Flame y Stuxnet y el primero a su vez con el usado para atacar Aramco.

El ataque a Saudi Aramco se hizo tomando ventaja de los derechos elevados alcanzados por medio de engañar a un técnico por medio de un correo con un link a una página infectada (phishing) e incitarlo a abrir una página que les permitiera infectar su máquina. Esto permitió que agentes externos ingresaran a esa computadora y la utilizan como puerto de entrada a la red interna. Luego de esta primera infección el virus se esparció con cierta facilidad y aguardo hasta las fechas festivas Árabes para iniciar su ejecución tomando ventaja de la gran ausencia de trabajadores por las fechas festivas.

Los primeros síntomas los notaron trabajadores técnicos que notaron que sus equipos se empezaron a congelar y apagar en forma inesperada. Se apresuraron a desconectar sus equipos de red para evitar que el virus se extendiera a nivel global, pero ya era tarde, el virus ya se había extendido mucho antes, lo que estaban presenciando era solo la detonación del sistema de destrucción interno que contenía el virus.

Durante investigaciones posteriores, el virus, al cual llamaron Shamoon por referencias con ese nombre encontrado en código del mismo por Symantec. Dicho código tenia mucha similitud con otro encontrado en una empresa productora de gas y empresas petroleras Iranies, llamado Flame, lo que hace sospechar a algunos que el ataque pudo ser una venganza de Iran por el ataque hecho por ellos. Pero Flame comparte a su vez secciones de código con Stuxnet, que se sabe fue de creación Israeli, por tanto otras ramas del área sospechan de Israel como forma de desestabilizar y debilitar la zona.

Shamoon dejo el asombroso saldo de 30 mil computadoras dañadas o parcialmente borradas. Requirió meses de trabajo de los especialistas para volver a regresar a sus operaciones normales, pocas empresas podrían haber sobrevivido a tan brutal ataque que los retorno a las operaciones manuales de los 70’s. Generando ordenes con máquinas de escribir y enviado documento y recibiendo pedidos por medio de un Fax.

La contratista danesa Chris Kubecka, fue contratada para liderar el re establecimiento de las operaciones de IT, proceso que no fue rápido ni corto. Las operaciones se normalizaron después de más de 6 meses de trabajar en restablecer el equipo y mejorar la seguridad. Recluto el mejor equipo que pudo encontrar. Representantes de la empresa fue enviado a las principales casas fabricantes de discos duros para comprar toda su producción de 3 meses para poder adquirir los más de 50.000 discos duros que necesitaban para reemplazar en los equipos, que debían ser cambiados debido a los danos parciales o totales que presentaban.

Este ataque es del que se conoce más información gracias a las charlas de Chris Kubecka sobre cómo recuperarse de un desastre. Esto por cuanto las empresas suelen ser muy herméticas en estos casos y Aramco no fue la excepción. Durante los más de dos años que duro su recuperación no se dieron declaraciones sobre los hechos o las perdidas reales de la empresa.

Entre los danos se encuentran más de 30 mil computadores que fueron dañadas o parcialmente dañados. Cientos de cisternas de combustible obsequiados para evitar el desabastecimiento local de combustible que no se podían facturar por la falta de sistema de cobro. Cierre total de operaciones por un lapso de 10 días. A esto sumado los costos operativos traducidos a tiempo laboral que se debió invertir para operar sin tecnología. Miles de dólares invertidos en consultores y técnicos que reemplazaron todos y cada uno de los equipos existentes, para evitar otra propagación igual

Aunque no se revelaron los costos totales, esta fue sin duda una de las operaciones de recuperación más larga y costosa que se ha registrado, bien se dice que no muchas empresas podrían sobrevivir a un ataque de esa magnitud.

Kubecka no solo invirtió largo tiempo supervisando las operaciones de recuperación de datos y re establecimiento de las operaciones si no que diseño un detallado de programa de concientización y cultura laboral para disminuir el riesgo de una situación similar se repita.

Notas y creditos.

Este es parte de un ensayo corto de analisis de casos para el curso Seguridad de Datos impartido por la universidad ULACIT.