Una nueva investigación de Symantec ha dado a conocer una campaña, ya en curso, de ataques contra diversos objetivos de la industria energética de Estados Unidos y varios países europeos, entre ellos España. Esta campaña sigue los pasos de Stuxnet, que fue la primera gran campaña de malware dirigida a sistemas ICS (sistemas de control industrial), aunque en esta ocasión se observa un foco mucho más amplio:
El nuevo estudio de Symantec ha descubierto una campaña de ciberespionaje contra diversos objetivos de la industria energética en Estados Unidos y Europa. El grupo atacante, apodado “Dragonfly” por Symantec, cuenta con importantes recursos y está operativo desde 2011. Aunque existen paralelismos entre las motivaciones que estaban detrás del malware Stuxnet y el grupo atacante Dragonfly, este último parece estar centrado en el espionaje, mientras que Stuxnet fue diseñado específicamente para el sabotaje.
El grupo Dragonfly utiliza métodos de ataque orientados al robo de información, a través de la instalación y ejecución de malware en los sistemas infectados. Además, incorpora capacidades para la ejecución de plugins adicionales, como son las herramientas de recopilación de contraseñas, de captura de pantalla y de catálogo de los documentos en los ordenadores infectados. El grupo Dragonfly ha encontrado un “punto débil” de las grandes compañías energéticas al comprometer a sus proveedores, que son siempre empresas de menor tamaño y menos protegidas.
A continuación, encontrarás nuestro análisis de las repercusiones de Dragonfly:
- Potencial de sabotaje. Una de las principales rutas de ataque (vectores) para el grupo Dragonfly ha sido comprometer el software legítimo de terceros. Symantec tiene constancia de tres compañías que se han visto comprometidas de esta forma, todas ellas fabricantes de equipos industriales. Los atacantes infectaron con éxito el software destinado a la gestión de estos equipos. Symantec cree que el propósito principal de estas infecciones era lograr instalarse en las redes de las compañías objetivo. Además, dichos ataques daban al grupo Dragonfly la capacidad para llevar a cabo acciones de sabotaje industrial si así lo decidieran.
- Utilizar la cadena de suministro. El grupo Dragonfly está técnicamente preparado y es capaz de actuar estratégicamente. Algunos de sus objetivos son grandes compañías del sector energético y, en lugar de atacarlas directamente, el grupo ha encontrado el “punto débil” al comprometer a sus proveedores, que son siempre empresas más pequeñas y con menos recursos.
- Múltiples vectores y herramientas de ataque. El grupo Dragonfly ha utilizado un número considerable de vectores de ataque. Así, además de comprometer software de terceros, también ha realizado ataques Watering Hole, comprometiendo sitios web que los empleados de las compañías objetivo suelen visitar; y utilizando campañas de spam. Dragonfly utiliza dos piezas principales de malware: Trojan.Karaganey y Backdoor.Oldrea. La segunda parece ser una pieza de software específicamente construida, y no disponible en el mercado negro. Esto indica nuevamente que el grupo está bien dotado de recursos y podría contar con el apoyo de algún Estado.