Un gran ataque con malware especializado ha comprometido a más de mil compañías energéticas en Norteamérica y Europa.

De acuerdo a la investigación de la firma de seguridad Symantec, el objetivo principal de este ataque parece ser el espionaje a las redes de energía de diferentes operadores y sus proveedores de equipo industrial.

Symantec piensa que los responsables del ataque pertenecen al colectivo de Europa del este Dragonfly, mismo que ha estado en operaciones desde 2011.

Ochenta y cuatro países fueron afectados, aunque la mayoría de las víctimas se ubican en los Estados Unidos, España, Francia, Italia, Alemania, Turquía y Polonia.

Las organizaciones que utilizan Sistemas de Control Industrial (ICS por sus siglas en inglés) para la administración de electricidad, agua, petróleo, gas y datos de sistemas han sido el objetivo principal para Dragonfly desde 2013.

De acuerdo a Symantec, el colectivo Dragonfly ha utilizado diferentes técnicas para lograr sus objetivos, entre las que se encuentran el uso de malware diseñado para programas de terceros, el envío de spear phishing o phishing dirigido, que son técnicas que ofrecen la capacidad de montar operaciones de sabotaje que podrían haber interrumpido el suministro de energía a diferentes países de la Unión Europea.

En la investigación se identificó que los atacantes han utilizado el malware Oldrea, puerta trasera que permite recolectar información del sistema, incluyendo la libreta de direcciones de Outlook y las listas de archivos y programas instalados. También se identificó el troyano Karagany, el cual permite cargar nuevo malware al equipo infectado y descargar cualquier archivo a la máquina del atacante.

De acuerdo a Rob Cotton, director ejecutivo de la firma de seguridad NCC Group:

"La forma en que Dragonfly dirigió su ataque contra las compañías en cuestión fue, sino innovadora, interesante y concertada. La creciente frecuencia y sofisticación de este tipo de ataques no debería ser una causa de alarma para el consumidor promedio, aún. Áreas del gobierno como el Centro de Protección de Infraestructura Nacional (CPNI, por sus siglas en inglés) ofrecen consejo a todos los sectores clave de la sociedad, asegurando que se mantenga la atención en servicios fundamentales y que las funciones críticas para nuestra forma de vida estén disponibles."

El ataque es similar al causado con el gusano Stuxnet, una pieza de malware muy sofisticada dirigida a atacar controladores industriales similares y causante de arruinar casi el 20% de las plantas nucleares iraníes en 2010.

Symantec comentó que las operaciones de Dragonfly llevan el sello del patrocinio gubernamental, mostrando un alto grado de capacidades técnicas.

Graham Cluley, analista de seguridad independiente, declaró a la BBC que la motivación del ataque no es clara, sin embargo, varios sospecharían que el ataque fue patrocinado por un estado extranjero, enfatizando la existencia de una nueva era de crimen:

"No hay duda que hemos entrado a una nueva era de cibercrimen, donde los países no sólo están combatiendo la amenaza, sino que también están explotando Internet para sus propios intereses, utilizando las mismas técnicas que los criminales."

El Dr. Andrew Rogoyski, presidente del grupo de ciberseguridad techUK, declaró a la BBC: "Según parece, los ataques son menos dañinos que Stuxnet, aunque sólo el tiempo y un mayor análisis lo dirán."