Actualidad informática

La función primordial del malware, etiquetado como Dragonfly por Symantec, era la del espionaje. Sin embargo, durante el tiempo que estuvo operativo se habría podido utilizar sin problemas para operaciones de sabotaje, poniendo un ingrediente de caos en un momento de por sí bastante delicado. Dragonfly sigue los pasos de Stuxnet, hasta el momento el mayor virus que ha afectado al sector industrial.

¿Cómo lograron introducir Dragonfly en la cadena industrial? A través de su eslabón más débil, los proveedores de equipamiento para los sistemas de control industrial. Infectaron el software de algunos de esos proveedores y lograron introducir el troyano de acceso remoto a través de las actualizaciones de software. La infección afectó al menos a tres proveedores de software que daban servicio a numerosas empresas de los países mencionados.

En el primer caso, el ataque se descubrió rápidamente, aunque dio tiempo a que se realizaran 250 descargas del software infectado. El segundo caso, un proveedor europeo de dispositivos de control lógico, la descarga estuvo disponible durante al menos seis semanas en los meses de julio y agosto del año pasado. El tercer caso, también europeo, se centró en un sistema de gestión de turbinas eólicas, plantas de biogas e infraestructuras energéticas. Esta vez estuvo disponible durante 10 días del mes de abril.

Impacto en la industria energética

Como señala Ars Technica, la operación Dragonfly tiene todos los visos de estar patrocinada por algún gobierno. Se sabe que ha estado operativa desde al menos 2011, empezando con compañías de la industria militar y la aviación en Canadá y Estados Unidos, antes de pasar al sector energético. La capacidad de organización de los atacantes y su sofisticación técnica son buenas pistas, pero además la huella encontrada en el malware indica que la mayor parte de los atacantes trabajaba en un horario de oficina de Europa del Este, de 9 de la mañana a 6 de la tarde.

Fuente: TICbeat

Licencia CC