Una nueva investigación de Symantec ha dado a conocer una campaña, ya en curso, de ataques contra diversos objetivos de la industria energética de Estados Unidos y varios países europeos, entre ellos España. Esta campaña sigue los pasos de Stuxnet, que fue la primera gran campaña de malware dirigida a sistemas ICS (sistemas de control industrial), aunque en esta ocasión se observa un foco mucho más amplio.

El grupo atacante, apodado “Dragonfly” por Symantec, cuenta con importantes recursos y está operativo desde 2011. En declaraciones de Miguel Suearez, TSO Security Practice Manager de Symantec, “este grupo parece estar siguiendo los pasos de la amenaza Stuxnet, nuevamente apuntando a organizaciones que usan sistemas de control industriales (ICS). Nuestro análisis nos hace creer que Dragonfly cuenta con recursos adecuados y usa varios métodos para infiltrarse en una gran variedad de organizaciones de todo el mundo”. Su objetivo principal parece ser el espionaje; sin embargo, sus ataques contra ICS le brindan la capacidad de organizar operaciones de sabotaje que podrían haber interrumpido el suministro de energía en varios países europeos.

Análisis de las repercusiones de Dragonfly:

1. Potencial de sabotaje. Una de las principales rutas de ataque (vectores) para el grupo Dragonfly ha sido comprometer el software legítimo de terceros. Symantec tiene constancia de tres compañías que se han visto comprometidas de esta forma, todas ellas fabricantes de equipos industriales. Los atacantes infectaron con  éxito el software destinado a la gestión de estos equipos. Symantec cree que el propósito principal de estas infecciones era lograr instalarse en las redes de las compañías objetivo. Además, dichos ataques daban al grupo Dragonfly la capacidad para llevar a cabo acciones de sabotaje industrial si así lo decidieran.
2. Utilizar la cadena de suministro. El grupo Dragonfly está técnicamente preparado y es capaz de actuar estratégicamente. Algunos de sus objetivos son grandes compañías del sector energético y, en lugar de atacarlas directamente, el grupo ha encontrado el “punto débil” al comprometer a sus proveedores, que son siempre empresas más pequeñas y con  menos recursos.
3. Múltiples vectores y herramientas de ataque. El grupo Dragonfly ha utilizado un número considerable de vectores de ataque. Así,  además de comprometer software de terceros, también ha realizado ataques Watering Hole, comprometiendo sitios web que los empleados de las compañías objetivo suelen visitar; y utilizado campañas de spam. Dragonfly utiliza dos piezas principales de malware: Trojan.Karaganey y Backdoor.Oldrea. La segunda parece ser una pieza de software específicamente construida, y no disponible en el mercado negro. Esto indica nuevamente que el grupo está bien dotado de recursos y podría contar con el apoyo de algún Estado.