Malware que ataca plantas de energía
Si bien el primero que comenzó a divulgar el riesgo que representa la exposición de los sistemas informáticos de las infraestructura de los países fue Eugene Kaspersky, esta vez fue la empresa de seguridad informática Symantec la que descubrió un malware llamado “Dragonfly”, que permite el acceso a los sistemas de control de diversas plantas de energía en todo el mundo.
El sector energético vuelve a ser el objetivo de los ciberdelincuentes. Después de Stuxnet, la primera gran campaña de malware dirigida a sistemas ICS o de control industrial, se descubrió otra actividad delictiva, esta vez ligada al ciberespionaje y no al sabotaje como la anterior, que realiza un grupo denominado “Dragonfly” por Symantec, la empresa de seguridad que ha dado la alarma sobre esta situación. Los ciberdelincuentes que están detrás de Dragonfly están actuando en Estados Unidos y en varios países de Europa.
Lo que buscan los ciberdelincuentes creadores de Dragonfly, que actúan desde 2011, es robar información a través de la instalación y ejecución de malware en los sistemas infectados. “Además, incorporan capacidades para la ejecución de plugins adicionales, como son las herramientas de recopilación de contraseñas, de captura de pantalla y de catálogo de los documentos en las computadoras infectadas”, explicaron los expertos de Symantec.
El grupo delictivo encontró un punto débil en las grandes compañías energéticas al comprometer a sus proveedores, que son siempre empresas de menor tamaño y menos protegidas. De hecho, una de las principales rutas de ataque para el grupo Dragonfly ha sido comprometer el software legítimo de terceros. Symantec asegura tener constancia de tres compañías que se han visto comprometidas de esta forma, todas ellas fabricantes de equipos industriales. Los atacantes infectaron con éxito el software destinado a la gestión de estos equipos. El objetivo es instalarse en las redes de las compañías tomadas como objetivo. Además, los ataques dan al grupo Dragonfly la capacidad para llevar a cabo acciones de sabotaje industrial si así lo decidieran.
Un común denominador de la actuación de este grupo es el uso de múltiples vectores y herramientas de ataque, de modo que no solo compromete el software de terceros, sino que también realiza ataques del tipo “watering hole”, que ponen en riesgo sitios web que los empleados de las compañías objetivo suelen visitar. Además, el uso de campañas de Spam también destaca entre su modus operandi.
Dragonfly utiliza dos piezas principales de malware: Trojan.Karaganey y Backdoor.Oldrea. “La segunda parece ser una pieza de software específicamente construida, y no disponible en el mercado negro”, explicaron los expertos de Symantec que añaden que esto indica que el grupo está bien dotado de recursos y que incluso “podría contar con el apoyo de algún Estado”.