Dragonfly, el grupo de hackers de Europa del Este responsable de sofisticadas campañas de ciberespionaje contra las infraestructuras energéticas de diferentes países desde 2011, ha vuelto a actuar recientemente a con el mismo objetivo a través de una campaña llamada Dragonfly 2.0.

Los investigadores en ciberseguridad de Symantec fueron los que descubrieron Dragonfly 2.0, diciendo sobre el tema que «el grupo tiene ahora potencialmente la capacidad de sabotear u obtener el control de esos sistemas», pudiendo tener un acceso sin precedentes a los sistemas operacionales pertenecientes a compañías energéticas.

La misma compañía de ciberserguridad ya reportó la gran capacidad que adquirió el grupo de hackers para realizar operaciones contra objetivos concretos, con especial mención operadores de oleoductos, empresas eléctricas y proveedores Sistemas de Control Industrial (ICS). Según Symantec, sus acciones más destacadas son las siguientes:

  • Ha estado activo desde finales 2015 utilizando las mismas tácticas y herramientas que en sus inicios.
  • En Dragonfly 2.0 el objetivo fue recolectar información sobre inteligencia y obtener acceso a redes de organizaciones concretas, además de ser capaz de realizar sabotajes cuando se le fue requerido (ya que hay fuertes sospechas de que trabaja para otros estados).
  • Dragonfly 2.0 impactó sobre todo en los sectores energéticos de Estados Unidos, Turquía y Suiza.
  • Los principales tipos de ataque utilizados fueron emails con ficheros maliciosos adjuntados, ataques de agujeros de agua y troyanos que fueron utilizados como un vector de ataque inicial para obtener acceso a las redes informáticas de las víctimas.
  • El grupo ha usado un conjunto de herramientas llamado Phishery para llevar ataques basados en email. El código de ese conjunto de herramientas está disponible en GitHub.
  • Los troyanos eran enmascarados como actualizaciones de Flash, las cuales han recibido nombres como Backdoor.Goodor, Backdoor.Dorshel y Trojan.Karagany.B y permitían a los atacantes obtener acceso remoto al ordenador de la víctima.

El grupo de hackers Dragonfly llevó a cabo en diciembre de 2015 un ataque contra un centro de distribución de energía en Ucrania que dejó sin electricidad a 225.000 personas durante seis horas. Aquella fue la primera vez que un ataque hacker impactaba de forma directa en las infraestructuras energéticas de un país. Más adelante, en Alemania, se descubrió un troyano en una central nuclear que llevaba presente 8 años en uno de sus ordenadores.

Los investigadores de Symantec no han encontrado evidencias de que Dragonfly 2.0 haya explotado vulnerabilidades Zero-Day, utilizando en su lugar herramientas de administración disponibles de forma pública como PowerShell, PsExec y Bitsadmin. Esto, en teoría, añade mérito a lo realizado por el grupo de hackers.

Mezclar ataques cibernéticos y ciertos tipos de centrales eléctricas suena a una combinación terrorífica, siendo esto un tema que tendría que ser considerado como de seguridad estatal por parte de los gobiernos

Fuentes: The Hacker News y ArsTechnica

Compartir