El sector energético vuelve a estar en el punto de mira de los ciberdelincuentes. Después de Stuxnet, la primera gran campaña de malware dirigida a sistemas ICS o de control industrial, se ha descubierto otra actividad delictiva, esta vez ligada al ciberespionaje y no al sabotaje como la anterior, que realiza un grupo apodado ‘Dragonfly’ por Symantec, la empresa de seguridad que ha dado la alarma sobre esta situación. La compañía americana de seguridad indica que los ciberdelincuentes que están detrás de Dragonfly están actuando en Estados Unidos y en varios países de Europa, España entre ellos, países donde ya habido diversos ataques.
Objetivo: el robo de información
Lo que buscan los ciberdelincuentes de Dragonfly, que actúan nada más y nada menos que desde 2011, es robar información a través de la instalación y ejecución de malware en los sistemas infectados. “Además, incorporan capacidades para la ejecución de plugins adicionales, como son las herramientas de recopilación de contraseñas, de captura de pantalla y de catálogo de los documentos en los ordenadores infectados”, aseveran los expertos de Symantec.
Desde la empresa indican que el grupo delictivo ha encontrado un “punto débil” de las grandes compañías energéticas al comprometer a sus proveedores, que son siempre empresas de menor tamaño y menos protegidas. De hecho, una de las principales rutas de ataque para el grupo Dragonfly ha sido comprometer el software legítimo de terceros. Symantec asegura tener constancia de tres compañías que se han visto comprometidas de esta forma, todas ellas fabricantes de equipos industriales. Los atacantes infectaron con éxito el software destinado a la gestión de estos equipos. ¿Con qué objetivo? Según la empresa de seguridad con el fin de instalarse en las redes de las compañías objetivo. Además, dichos ataques daban al grupo Dragonfly la capacidad para llevar a cabo acciones de sabotaje industrial si así lo decidieran.
Un común denominador de la actuación de este grupo es el uso de múltiples vectores y herramientas de ataque, de modo que no solo compromete el software de terceros, sino que también realiza ataques ‘watering hole’, que ponen en riesgo sitios web que los empleados de las compañías objetivo suelen visitar. Además, el uso de campañas de spam también destaca entre su modus operandi.
¿Qué ‘malware’ usa?
Dragonfly utiliza dos piezas principales de malware: Trojan.Karaganey y Backdoor.Oldrea. “La segunda parece ser una pieza de software específicamente construida, y no disponible en el mercado negro”, resaltan los expertos de Symantec que añaden que esto indica que el grupo está bien dotado de recursos y que incluso “podría contar con el apoyo de algún Estado”.
from TICbeat http://ift.tt/1m35iq3
