Una nueva investigación de Symantec descubre que se ha puesto en marcha una campaña de ciberespionaje contra diversos objetivos de la industria energética de Estados Unidos y Europa, y que entre los objetivos europeos se encuentra también España.
El grupo que está llevando a cabo esta campaña de malware ha sido bautizado por Symantec como Dragonfly, y cuenta con importantes recursos ya que está operativo desde 2011. Dragonfly parece estar siguiendo de cerca los pasos de Stuxnet, grupo que llevó a cabo la primera gran campaña de malware dirigida a sistemas ICS o sistemas de control industrial. Aunque parecen existir entre ambos paralelismos muy claros, Dragonfly se dedica al ciberespionaje de estos sistemas, mientras que sus antecesores estaban orientados al ataque y sabotaje.
Este nuevo grupo utiliza métodos de ataque orientados al robo de información, a través de la instalación y ejecución de malware en los sistemas infectados. Además, incorpora capacidades para la ejecución de plugins adicionales, como son las herramientas de recopilación de contraseñas, de captura de pantalla y de catálogo de los documentos en los ordenadores infectados. El grupo Dragonfly ha encontrado un “punto débil” en las grandes compañías energéticas: comprometer a sus proveedores, que son siempre empresas de menor tamaño y menos protegidas. Symantec ya tiene constancia de tres compañías que se han visto comprometidas de esta forma, todas ellas fabricantes de equipos industriales. Los atacantes infectaron con éxito el software destinado a la gestión de estos equipos, por lo que la compañía cree que el propósito principal de estas infecciones era lograr instalarse en las redes de las empresas objetivo. Además, dichos ataques, otorgaban al grupo atacante la posibilidad sabotear los sistemas industriales en un futuro.
El grupo Dragonfly ha utilizado un número considerable de vectores de ataque. Así, además de comprometer software de terceros, también ha realizado ataques Watering Hole, comprometiendo sitios web, mediante campañas de spam, que los empleados de las compañías objetivo suelen visitar. Dragonfly utiliza dos piezas principales de malware: Trojan.Karaganey y Backdoor.Oldrea. La segunda parece ser una pieza de software específicamente diseñada para ellos. Esto indica nuevamente que el grupo está bien dotado de recursos y podría contar con el apoyo de algún Estado.