Pasar al contenido principal

ES / EN

"Dragonfly", la secuela de Stuxnet que busca sabotear industrias
Miércoles, Julio 2, 2014 - 12:00

Más de 1.000 empresas han sido atacadas, mayoritariamente operadores de la red energética, proveedores de equipamiento y empresas petroleras, y la mayoría pertenecen EE.UU., España, Francia, Italia, Alemania, Turquía, Polonia, Rumania, Grecia y Serbia.

Una gran cantidad de empresas del sector energético de Norteamérica y Europa se vieron comprometidas en un masivo ataque de malware, en el marco de una campaña de ciberespionaje iniciada en febrero de 2013 que continúa activa, según denunció una reconocida firma de seguridad informática.

La empresa de seguridad informática Symantec -desarrolladora del antivirus Norton- denunció que la campaña se encuentra en curso y que los atacantes serían parte de un colectivo del este de Europa conocido como "Dragonfly", que opera desde 2011.

Los atacantes "lograron poner en peligro a una serie de organizaciones de importancia estratégica con propósitos de espionaje y, si hubieran utilizado las capacidades de sabotaje que se les abrieron, podrían haber causado un daño o la interrupción de los suministros de energía en los países afectados", señaló Symantec en un informe publicado en su sitio web.

Las empresas comprometidas -que según la cadena británica BBC serían más de 1.000, aunque Symantec no detalló el número- son operadores de la red energética, proveedores de equipamiento y empresas petroleras, y la mayoría pertenecen Estados Unidos, España, Francia, Italia, Alemania, Turquía, Polonia, Rumania, Grecia y Serbia.

El informe de la empresa de ciberseguridad advirtió que Dragonfly "cuenta con buenos recursos", con una gama de herramientas de malware a su disposición y con la "capacidad de lanzar ataques a través de una serie de diferentes vectores".

De hecho, la campaña denunciada se realizó con al menos tres técnicas distintas. "Su campaña de ataque más ambicioso puso en peligro a los sistemas de control industrial (ICS) de varios proveedores de equipos, infectando su software con un troyano de acceso remoto. Esto hizo que las empresas instalaran el malware al descargar actualizaciones de software para las computadoras que ejecutan los ICS", explicó Symantec.


(10 países con más infecciones activas. Crédito: Symantec)

Además, entre febrero y junio de 2013, Dragonfly envió spam vía correo electrónico, al menos a siete organizaciones, a las que les mandó entre uno y 84 mails infectados.

El otro método empleado en la campaña contra las energéticas fue el de los ataques denominados de "agujero de riego", que consisten en infectar a organizaciones específicas.

"El grupo ha utilizado dos principales herramientas de malware: Backdoor.Oldrea y Trojan.Karagany. El primero parece ser un código realizado ad hoc, escrito por o para los atacantes", sostuvo Symantec.

Según el informe, la campaña "sigue los pasos de Stuxnet, que fue la primera campaña de malware importante orientada a los sistemas de ICS".

Stuxnet fue un malware que infectó las computadoras de la planta nuclear iraní de Natanz con el objetivo de ralentizar los avances, desarrollado con ese fin por militares israelíes y estadounidenses.

Pero mientras que Stuxnet "tenía como meta principal al sabotaje, Dragonfly parece tener un enfoque mucho más amplio, con el espionaje y el acceso persistente como sus objetivos actuales, y el sabotaje como una capacidad opcional si es necesario", explicó el informe.

El grupo Dragonfly, también conocido como "Energetic Bear", está activo al menos desde 2011.

Según Symantec, este ataque "lleva el sello de una operación patrocinada por un Estado, mostrando un alto grado de capacidades técnicas"-

En sus primeros ataques, Dragonfly tuvo como objetivo a empresas canadienses y estadounidenses de defensa y del rubro de la aviación, en tanto que a principios de 2013 cambió su enfoque hacia las empresas de energía. 

Crédito imagen: Symantec

Autores

Télam