Un campaña de ciberespionaje contra una amplia variedad de blancos, principalmente el sector energético, le ha dado a los atacantes cibernéticos la posibilidad de montar operaciones de sabotaje contra sus víctimas. El grupo detrás de los ataques, denominados por Symantec como Dragonfly, lograron comprometer una considerable cantidad de organizaciones estratégicamente importantes con propósitos de espionaje y, al poder hacer uso de las capacidades de sabotaje con las que cuentan, podrían causar daños o disrupción a los suministros de energías de los países afectados.
Entre los blancos de Dragonfly se encontraron operadores de red de energía, las principales firmas de generación de electricidad, operadores de ductos de petróleos, y proveedores de equipamientos industriales del sector energético. La mayor parte de estas víctimas se encuentran en los Estados Unidos, España, Francia, Italia, Turquía y Polonia.
El grupo Dragonfly cuenta con varios recursos, con un amplio rango de herramientas a su disposición y se encuentra capacitado para lanzar varios ataques a través de diferentes vectores. Su campaña de ataque más ambiciosa demostró como pudo comprometer a varios proveedores de equipos de sistemas de control industrial (ICS) infectando su software con un troyano de acceso remoto. Como resultado, al descargar el software para actualizar aquellas máquinas con ICS, el software malicioso se instaló en las compañías afectadas. Estas infecciones no sólo le brindó a los atacantes con un acceso a la red de las organizaciones blanco, sino también con los medios para montar operaciones de sabotaje contras las computadoras afectadas de ICS.
Esta campaña sigue los pasos de Stuxnet, la cual fue la primera gran campaña en atacar a sistemas ICS. Si bien Stuxnet se concentró en el programa de nuclear iraní y en realizar sabotajes, Dragonfly parece tener un foco más amplio en espionaje.
Además de comprometer el software de ICS, Dragonfly ha usado campañas de correo electrónico infectados y ataques de tipo watering hole para infectar organizaciones blanco. Este grupo ha usado los 2 principales tipos de herramientas de software malicioso: Backdoor.Oldrea y Trojan.Karagany.
Antes de la publicación de esta investigación, Symantec notificó sobre esta campaña a los afectados y a las autoridades correspondientes.
Antecedentes
El grupo Dragonfly, también conocido por otros proveedores como Energetic Bear, aparenta estar en operación desde al menos el año 2011 y puede que haya estado activo desde mucho antes. Inicialmente, Dragonfly tenía como blanco las compañías de defensa y aviación de Estados Unidos y Canadá antes de cambiar de foco principal hacia firmas energéticas de Europa y Estados Unidos a principios de 2013.
El análisis de compilación de los períodos de tiempo en el que el software malicioso fue utilizado por los atacantes, indica que el grupo habría trabajado entre lunes y viernes, con actividad principalmente en el periodo de 9 horas correspondientes a 9 a.m. a 6 p.m. en el huso horario UTC+4. Dada esta información, es muy probable que los atacantes se encuentren en Europa del este.
Imagen. Los principales 10 países con infecciones activas (donde los atacantes robaron información de las computadoras infectadas)
Herramientas utilizadas
Dragonfly utiliza dos piezas de software malicioso en sus ataques. Ambas, son herramientas de acceso remoto (RAT) que les permite acceder y tomar control de los equipos comprometidos.
La herramienta de preferencia de Dragonfly es Backdoor.Oldrea, también conocida como Havex o Energetic Bear RAT. Oldrea actúa como una puerta trasera para los atacantes en la computadora de la víctima, permitiendo extraer datos e instalar más software maliciosos adicionales.
Adicionalmente, Oldrea acumula información del sistema, junto con un listado de archivos, programas instalados y la raíz de las unidades disponibles. También extrae datos de la libreta de contactos de Outlook y los archivos de configuración de VPN. Estos datos se escriben en archivos temporarios con formato encriptado antes de ser enviado al servidor remoto de comando y control (C&C) controlado por los atacantes.
La segunda herramienta utilizada por Dragonfly es Trojan.Karagany. La versión 1 del código fuente de Karagany se infiltró en 2010. Desde Symantec, creemos que Dragonfly puede haber tomado este código fuente y haberlo modificado para su uso. La versión detectada por Symantec fue Trojan.Karagany!gen1.
Karagany es capaz de subir datos robados, descargar nuevos archivos, y ejecutar archivos en las computadoras infectadas. También puede ejecutar plugins adicionales, como herramientas de recolección de contraseñas, tomar screenshots, y catalogación de documentos en las máquinas infectadas.
Symantec encontró que la mayoría de las computadoras fueron comprometidas con Oldrea. Karagany fue utilizada solo en alrededor del 5 por ciento de las infecciones.
Múltiples vectores de ataques
El grupo Dragonfly ha utilizado al menos 3 tácticas de infección contra los blancos en el sector energético.
El grupo Dragonfly utilizó, al menos, tres estrategias de infección de objetivos del sector energético. El primer método fue una campaña de spam por correo electrónico, durante la cual determinados empleados de nivel ejecutivo de las empresas objetivo recibieron correos electrónicos con archivos PDF maliciosos adjuntos. Los correos electrónicos infectados mostraban uno de los siguientes dos asuntos: “La cuenta” o “Solución del problema de entrega” Todos los correos electrónicos provenían de una dirección única de Gmail.
La campaña de spam comenzó en febrero de 2013 y continuó hasta junio de 2013. Symantec identificó a siete organizaciones objetivo distintas en esta campaña. La cantidad de correos electrónicos enviados a cada organización fue de 1 a 84.
Posteriormente, los atacantes reorientaron su enfoque en forma de ataque de tipo “watering hole”. De esta manera, lograron infectar varios sitios web relacionados con el sector energético e inyectaron un iframe en cada uno de ellos, lo cual redireccionó a los visitantes a otro sitio web legítimo afectado que hospedaba el kit de explotación Lightsout. Lightsout utiliza Java o Internet Explorer para insertar Oldrea o Karagany en el equipo de la víctima. El hecho de que los atacantes infectaron varios sitios web legítimos en cada etapa de la operación es una prueba más de que el grupo cuenta con sólidas capacidades técnicas.
En septiembre de 2013, Dragonfly comenzó a usar una nueva versión de este kit de explotación, conocido como kit de explotación Hello. La página de destino de este kit contiene JavaScript, que toma huellas digitales del sistema a fin de identificar complementos del navegador instalado. A continuación, se redirecciona a la víctima a una URL que, a su vez, determina el mejor punto vulnerable que debe usarse de acuerdo con la información recopilada.
Software troyano
El vector de ataque más ambicioso utilizado por Dragonfly fue el compromiso de un número de paquetes de software legítimos. Tres diferentes proveedores de equipamiento ICS fueron el blanco y el software malicioso fue insertado a través de paquetes de software legítimos que se encontraban disponibles para descargar en sus sitios web.
Entre los ataques identificados se encuentra el software troyano de un producto utilizado para brindar acceso de VPN a dispositivos del tipo controlador lógico programable (PLC). Si bien el proveedor reportó el ataque muy poco después de haber ocurrido, ya había habido 250 descargas únicas del software comprometido.
También se detectó el ataque una compañía Europea que desarrolla sistemas para manejar turbinas de viento y otras infraestructuras. Symantec cree que el software comprometido pudo haber estado disponible para descargar por aproximadamente diez días en abril de 2014.
El grupo Dragonfly se encuentra capacitado para pensar estratégicamente. Dado el tamaño de algunos blancos, el grupo encontró su “talón de Aquiles” al comprometer a sus proveedores, quienes son más pequeños, y compañías menos protegidas.
Protección
Symantec cuenta con las siguientes detecciones que protegerán a los clientes con las versiones más recientes de nuestros productos de los software maliciosos utilizados en estos ataques:
Detección de antivirus
Sistema de prevención de intrusos
Para más detalles técnicos, acceda a nuestro whitepaper (en Inglés)