1rwylGp

desde la
plataforma
Estudios sobre
seguridad
y gestión de riesgos
Explorar las tendencias clave en la función de lo que los grupos criminales
se dedican a operar, así como la preocupación prioritaria entre los
ejecutivos en las principales compañías globales de gran tamaño: Cómo
enfocan el potencial riesgoso en materia de Ti, estrategias y tácticas.
Terrible potencial de grupos
de malware
Fuente: Symantec Security Response, “DragonFly
2014”, Symantec.
El nuevo estudio de Symantec revela que el grupo
atacante, apodado como Dragonfly, cuenta con importantes
recursos y ha estado operando desde 2011.
También señala que existen paralelismos entre las motivaciones
que estaban detrás de los creadores del código
malicioso Stuxnet, diseñado específicamente para
sabotaje y el grupo Dragonfly, cuyos ataques parecen
estar enfocados en el espionaje (aunque se sabe que
el grupo tenía la capacidad para montar operaciones
de sabotaje contra sus víctimas).
Además, incorporan capacidades para la ejecución
de plugins adicionales, como herramientas de recopilación
de contraseñas y de captura de pantalla en los
equipos infectados. Los ataques también aprovechan
el “punto débil” de las grandes compañías energéticas
al comprometer o atacar a sus proveedores, los cuales
suelen ser empresas de menor tamaño y con una protección
más limitada.
A continuación, encontrarás algunos aspectos relevantes
del análisis de Symantec sobre las características
de Dragonfly:
1.
Potencial de sabotaje. Una de las principales
rutas de ataque (vectores) para el grupo
Dragonfly ha sido comprometer el software
legítimo de terceros. Symantec tiene constancia de
tres compañías que se han visto comprometidas de
esta forma, todas ellas fabricantes de equipos industriales.
Los atacantes infectaron con éxito el software
destinado a la gestión de estos equipos. Symantec
cree que el propósito principal de estas infecciones
era lograr instalarse en las redes de las compañías
objetivo. Además, dichos ataques daban al grupo la
capacidad para llevar a cabo acciones de sabotaje
industrial si así lo decidieran.
2.
Aprovechamiento de la cadena de suministro.
El grupo está técnicamente preparado y
es capaz de actuar estratégicamente. Algunos
de sus objetivos son grandes compañías del sector
energético y, en lugar de atacarlas directamente, el
grupo ha encontrado el “punto débil” al comprometer
a sus proveedores, que suelen ser empresas de menor
tamaño y con recursos más limitados.
3.
Múltiples vectores y herramientas de
ataque. El grupo ha utilizado un número
considerable de vectores de ataque.
Así, además de comprometer software de terceros,
también ha realizado ataques Watering Hole, comprometiendo
sitios web que los empleados de las
compañías objetivo suelen visitar; y utilizando campañas
de spam. Dragonfly utiliza dos piezas principales
de malware: Trojan.Karaganey y Backdoor.Oldrea.
La segunda parece ser una pieza de software
específicamente construida, y no disponible en el
mercado negro. Esto indica nuevamente que el grupo
cuenta con buenos recursos y podría contar con
el apoyo de algún Estado.
Cabe mencionar que en un inicio, Dragonfly y sus
ataques se dirigieron a compañías relacionadas
con la industria de la defensa y la aviación en Estados
Unidos y Canadá, antes de cambiar su foco
en 2013, hacia empresas del sector energético en
Europa y Estados Unidos. Aunque sabemos que
los ataques generados por el grupo Dragonfly han
robado datos de las organizaciones afectadas, no
tenemos visibilidad sobre qué tipo de información
pudo ser sustraída.
Symantec confirmó que los clientes que cuenten con
las versiones actualizadas de sus soluciones cuentan
con las detecciones correspondientes que brindan
protección del malware usado en los ataques de
Dragonfly.
30 julio • agosto 2014
julio • agosto 2014 31