EE. UU. advierte sobre ataques contra firmas de energía e infraestructura crítica

El Departamento de Seguridad Nacional de los Estados Unidos (DHS) y el Buró Federal de Investigaciones (FBI) han advertido que los atacantes están apuntando activamente a departamentos gubernamentales y firmas en sectores energía, plantas nucleares, agua, aviación y fabricación de componentes críticos.

La advertencia revela que grupos de cibercriminales han estado apuntando a infraestructura crítica desde al menos mayo de 2017, y “en algunos casos” han comprometido con éxito las redes de víctimas.

Investigadores de ESET han estado haciendo advertencias similares, ya que en el informe de tendencias en seguridad para 2017 se había incluido los ataques a infraestructuras críticas como un llamado de atención, y este año descubrieron a Industroyer, la mayor amenaza a sistemas de control industrial desde Stuxnet.

Lo que se está volviendo cada vez más común es que las organizaciones a las que se dirigen los ataques son proveedores independientes y de confianza del objetivo final de los cibercriminales.

Estos “objetivos por etapas” proporcionan un punto de pivote y un repositorio de malware que el grupo de atacantes puede utilizar para aumentar sus posibilidades de comprometer con éxito a su objetivo: atacan a la red de proveedores de la organización que trabaja en el sector de la energía u otra infraestructura crítica.

Según el DHS, la campaña aún está en marcha mientras los atacantes (muy probablemente) patrocinados por un estado persiguen su objetivo final, ya sea espiar, realizar reconocimiento de código abierto o interrumpir los sistemas de energía en caso de un conflicto.

Se cree que esta nueva ola de ataques es el último asalto orquestado por el grupo de atacantes Dragonfly, que anteriormente había apuntado a más de 1.000 compañías en la industria energética europea y norteamericana.

Una de las técnicas usadas en los ataques, según el reporte, son los correos de spear-phishing que pueden ayudar a revelar la contraseña del receptor:


A lo largo de la campaña de spear-phishing, los atacantes usaron archivos adjuntos de correo electrónico para aprovechar las funciones legítimas de Microsoft Office para recuperar un documento de un servidor remoto utilizando el protocolo del bloque de mensajes del servidor (SMB). (Un ejemplo de esta solicitud es: file [:] /// Normal.dotm).

Como parte de los procesos estándar ejecutados por Microsoft Word, esta solicitud autentica al cliente con el servidor, enviando el hash de credencial del usuario al servidor remoto antes de recuperar el archivo solicitado. (Nota: No es necesario recuperar el archivo para que se produzca la transferencia de credenciales). Los atacantes probablemente utilizaron técnicas de cracking de contraseñas para obtener la contraseña de texto plano. Una vez que obtienen credenciales válidas, pueden enmascararse como usuarios autorizados.


En otros ataques, el cibercriminal puede enviar lo que parece ser un acuerdo de contrato genérico en forma de PDF. Aunque no hay código malicioso en el archivo PDF, solicita al lector que haga clic en un enlace que (a través de una URL acortada) descarga un archivo malicioso.

Para aumentar las posibilidades de que se abra el archivo PDF, los correos electrónicos y archivos adjuntos pueden referirse a CV o currículos legítimos para personal de sistemas de control industrial, o documentos de políticas o invitaciones diseñadas para atraer a los usuarios a hacer clic en el archivo adjunto.

Además del correo electrónico, las organizaciones también se ven afectadas por ataques watering hole, donde los sitios web legítimos se han visto comprometidos y contienen código malicioso. El informe del DHS dice que aproximadamente la mitad de los watering holes conocidos son “publicaciones comerciales y sitios web informativos relacionados con el control de procesos, sistemas de control industrial o infraestructura crítica”.

Se pueden encontrar muchos más detalles, incluidos los indicadores de compromiso, los nombres de archivo utilizados en los ataques y los hash MD5, en la alerta publicada en US-CERT.

Fuente: welivesecurity

Comparte esto en:

Tags: , , , , , ,

Deja un Comentario