Un grupo de ciberespías que había dejado de operar hace años ha reanudado sus esfuerzos por recolectar información sobre las plantas de energía de Europa y Estados Unidos. Se cree que el grupo DragonFly está financiado por algún gobierno que quiere conseguir información secreta sobre estas infraestructuras críticas para poder controlarlas a distancia y conocer a fondo su forma de operar y posibles vulnerabilidades.
Se ha descubierto que un grupo de ciberespías que había dejado de operar hace años ha reanudado sus esfuerzos por recolectar información sobre las plantas de energía de Europa y Estados Unidos. Se cree que el grupo DragonFly está financiado por algún gobierno que quiere conseguir información secreta sobre estas infraestructuras críticas para poder controlarlas a distancia y conocer a fondo su forma de operar y posibles vulnerabilidades.
El grupo había estado operando desde 2011 pero dejó de hacerlo en 2014 cuando los expertos en seguridad lo descubrieron y expusieron sus operaciones. Después de una pausa de año y medio, se ha descubierto que el grupo había retomado sus ataques a finales de 2015.
Los atacantes operan enviando correos maliciosos con archivos adjuntos que comparten con los criminales las credenciales de acceso a redes de los funcionarios de las plantas, ofreciéndoles la oportunidad de instalar puertas traseras que filtran información y tomar el control de los sistemas afectados. También distribuyen sus ataques con muchos otros métodos, incluyendo actualizaciones falsas de Flash, ataques “abrevadero”, alteraciones a sitios web externos que son visitados con frecuencia por los funcionarios de la planta, etc.
La compañía de seguridad Symantec descubrió que DragonFly 2.0 había estado atacando a decenas de compañías de energía durante este último periodo de actividad. Por ahora, se han descubierto más de 20 casos de intrusiones del grupo a las redes internas de plantas de energía en Estados Unidos, Turquía y Suiza, pero esto no descarta la posibilidad de que existan más intrusiones que todavía no se han descubierto.
En todos los casos, los atacantes consiguieron lo que se llama “acceso operacional”: el control sobre las interfaces que los ingenieros de las compañías utilizan para enviar comandos a los equipos para que realicen funciones que podrían incluir detener el flujo de energía a ciudades enteras.
“El grupo DragonFly parece interesado en aprender sobre el funcionamiento de las plantas de energía y en ganar acceso ellos mismos a los sistemas para operarlas, de tal modo que el grupo ahora tiene habilidades que les podrían permitir sabotear o controlar estos sistemas si así lo decide”, dijo Symantec.
Eric Chien, analista de seguridad de Symantec, afirmó que nunca antes se había visto este grado de control sobre sistemas de energía de Estados Unidos por parte de atacantes cibernéticos. “Es diferente estar a un paso de sabotear un sistema y, de hecho, estar en la posición perfecta para hacerlo”, dijo Chien. “No estamos hablando de evidencias técnicas de que esto podría pasar en Estados Unidos, hablamos de que no hay nada que evite que esto suceda excepto la voluntad de alguna persona en algún lugar del mundo”.
Fuente: https://securelist.lat