1rwylGp
1rwylGp
1rwylGp
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
desde la<br />
plataforma<br />
Estudios sobre<br />
seguridad<br />
y gestión de riesgos<br />
Explorar las tendencias clave en la función de lo que los grupos criminales<br />
se dedican a operar, así como la preocupación prioritaria entre los<br />
ejecutivos en las principales compañías globales de gran tamaño: Cómo<br />
enfocan el potencial riesgoso en materia de Ti, estrategias y tácticas.<br />
Terrible potencial de grupos<br />
de malware<br />
Fuente: Symantec Security Response, “DragonFly<br />
2014”, Symantec.<br />
El nuevo estudio de Symantec revela que el grupo<br />
atacante, apodado como Dragonfly, cuenta con importantes<br />
recursos y ha estado operando desde 2011.<br />
También señala que existen paralelismos entre las motivaciones<br />
que estaban detrás de los creadores del código<br />
malicioso Stuxnet, diseñado específicamente para<br />
sabotaje y el grupo Dragonfly, cuyos ataques parecen<br />
estar enfocados en el espionaje (aunque se sabe que<br />
el grupo tenía la capacidad para montar operaciones<br />
de sabotaje contra sus víctimas).<br />
Además, incorporan capacidades para la ejecución<br />
de plugins adicionales, como herramientas de recopilación<br />
de contraseñas y de captura de pantalla en los<br />
equipos infectados. Los ataques también aprovechan<br />
el “punto débil” de las grandes compañías energéticas<br />
al comprometer o atacar a sus proveedores, los cuales<br />
suelen ser empresas de menor tamaño y con una protección<br />
más limitada.<br />
A continuación, encontrarás algunos aspectos relevantes<br />
del análisis de Symantec sobre las características<br />
de Dragonfly:<br />
1.<br />
Potencial de sabotaje. Una de las principales<br />
rutas de ataque (vectores) para el grupo<br />
Dragonfly ha sido comprometer el software<br />
legítimo de terceros. Symantec tiene constancia de<br />
tres compañías que se han visto comprometidas de<br />
esta forma, todas ellas fabricantes de equipos industriales.<br />
Los atacantes infectaron con éxito el software<br />
destinado a la gestión de estos equipos. Symantec<br />
cree que el propósito principal de estas infecciones<br />
era lograr instalarse en las redes de las compañías<br />
objetivo. Además, dichos ataques daban al grupo la<br />
capacidad para llevar a cabo acciones de sabotaje<br />
industrial si así lo decidieran.<br />
2.<br />
Aprovechamiento de la cadena de suministro.<br />
El grupo está técnicamente preparado y<br />
es capaz de actuar estratégicamente. Algunos<br />
de sus objetivos son grandes compañías del sector<br />
energético y, en lugar de atacarlas directamente, el<br />
grupo ha encontrado el “punto débil” al comprometer<br />
a sus proveedores, que suelen ser empresas de menor<br />
tamaño y con recursos más limitados.<br />
3.<br />
Múltiples vectores y herramientas de<br />
ataque. El grupo ha utilizado un número<br />
considerable de vectores de ataque.<br />
Así, además de comprometer software de terceros,<br />
también ha realizado ataques Watering Hole, comprometiendo<br />
sitios web que los empleados de las<br />
compañías objetivo suelen visitar; y utilizando campañas<br />
de spam. Dragonfly utiliza dos piezas principales<br />
de malware: Trojan.Karaganey y Backdoor.Oldrea.<br />
La segunda parece ser una pieza de software<br />
específicamente construida, y no disponible en el<br />
mercado negro. Esto indica nuevamente que el grupo<br />
cuenta con buenos recursos y podría contar con<br />
el apoyo de algún Estado.<br />
Cabe mencionar que en un inicio, Dragonfly y sus<br />
ataques se dirigieron a compañías relacionadas<br />
con la industria de la defensa y la aviación en Estados<br />
Unidos y Canadá, antes de cambiar su foco<br />
en 2013, hacia empresas del sector energético en<br />
Europa y Estados Unidos. Aunque sabemos que<br />
los ataques generados por el grupo Dragonfly han<br />
robado datos de las organizaciones afectadas, no<br />
tenemos visibilidad sobre qué tipo de información<br />
pudo ser sustraída.<br />
Symantec confirmó que los clientes que cuenten con<br />
las versiones actualizadas de sus soluciones cuentan<br />
con las detecciones correspondientes que brindan<br />
protección del malware usado en los ataques de<br />
Dragonfly.<br />
30 julio • agosto 2014<br />
julio • agosto 2014 31