Cyber Attacks on the Energy Sector

Los investigadores en ciberseguridad de Symantec fueron los que descubrieron Dragonfly 2.0, diciendo sobre el tema que “el grupo tiene ahora potencialmente la capacidad de sabotear u obtener el control de esos sistemas”, pudiendo tener un acceso sin precedentes a los sistemas operacionales pertenecientes a compañías energéticas.

La misma compañía de ciberserguridad ya reportó la gran capacidad que adquirió el grupo de hackers para realizar operaciones contra objetivos concretos, con especial mención operadores de oleoductos, empresas eléctricas y proveedores Sistemas de Control Industrial (ICS). Según Symantec, sus acciones más destacadas son las siguientes:

  • Ha estado activo desde finales 2015 utilizando las mismas tácticas y herramientas que en sus inicios.
  • En Dragonfly 2.0 el objetivo fue recolectar información sobre inteligencia y obtener acceso a redes de organizaciones concretas, además de ser capaz de realizar sabotajes cuando se le fue requerido (ya que hay fuertes sospechas de que trabaja para otros estados).
  • Dragonfly 2.0 impactó sobre todo en los sectores energéticos de Estados Unidos, Turquía y Suiza.
  • Los principales tipos de ataque utilizados fueron emails con ficheros maliciosos adjuntados, ataques de agujeros de agua y troyanos que fueron utilizados como un vector de ataque inicial para obtener acceso a las redes informáticas de las víctimas.
  • El grupo ha usado un conjunto de herramientas llamado Phishery para llevar ataques basados en email. El código de ese conjunto de herramientas está disponible en GitHub.
  • Los troyanos eran enmascarados como actualizaciones de Flash, las cuales han recibido nombres como Backdoor.Goodor, Backdoor.Dorshel y Trojan.Karagany.B y permitían a los atacantes obtener acceso remoto al ordenador de la víctima.

El grupo de hackers Dragonfly llevó a cabo en diciembre de 2015 un ataque contra un centro de distribución de energía en Ucrania que dejó sin electricidad a 225.000 personas durante seis horas. Aquella fue la primera vez que un ataque hacker impactaba de forma directa en las infraestructuras energéticas de un país. Más adelante, en Alemania, se descubrió un troyano en una central nuclear que llevaba presente 8 años en uno de sus ordenadores.

Los investigadores de Symantec no han encontrado evidencias de que Dragonfly 2.0 haya explotado vulnerabilidades Zero-Day, utilizando en su lugar herramientas de administración disponibles de forma pública como PowerShell, PsExec y Bitsadmin. Esto, en teoría, añade mérito a lo realizado por el grupo de hackers.

Mezclar ataques cibernéticos y ciertos tipos de centrales eléctricas suena a una combinación terrorífica, siendo esto un tema que tendría que ser considerado como de seguridad estatal por parte de los gobiernos

Fuentes: blog.segu-info | The Hacker News | ArsTechnica

En ciberseguridad todo empeorará, antes de mejorar: expertos

El ciberespionaje, el crecimiento y evolución del malware, el terrorismo digital y el crimen en Internet no sólo no se detendrán en los próximos años, sino que empeorarán como reflejo de la falta de regulaciones gubernamentales, la falta de personal capacitado para combatir estos delitos y la sofisticación de los grupos criminales.

“Las cosas van a empeorar, antes de que empiecen a mejorar”, fue una de las frases más recurrentes y comunes que expertos en seguridad IT compartieron en el marco del RSA Conference 2013.

Mientras que el sector privado y los gobiernos apenas han comenzado a tomar acciones para regular la forma en que compartirán información sobre nuevas ciberamenazas, ataques y códigos maliciosos, los grupos criminales de Internet llevan años filtrando e intercambiando datos y tecnología para incrementar sus posibilidades de vulnerar y comprometer sistemas.

“Hoy hablamos del valor que Big Data entrega a los profesionales de seguridad IT para hacer análisis profundos de información, encontrar patrones, detectar tendencias y prevenir ataques, pero no me queda la menor duda de que los delincuentes digitales llevan años utilizando tecnologías similares”, dijo Mike Brown, vicepresidente y gerente de la división de sector público de RSA.

Brown, un almirante retirado de la Marina de Estados Unidos y experto en criptografía y telecomunicaciones, afirmó que en los últimos cinco años los delincuentes informáticos han aprendido a compartir información para reducir sus costos operativos, tiempos de desarrollo y la calidad en sus programas maliciosos.

En algunos casos, los criminales incluso han comenzado a modificar su procesos operativos para refinar la manera en la que funcionan dentro de los confines clandestino del Web.

“Muchos desarrolladores de malware y cibercriminales han dejado de vender códigos maliciosos o información robada de forma masiva, porque saben que las autoridades lo están buscando, que las penas son cada vez más duras y que existe una gran posibilidad de que los arresten. Hoy, su método de trabajo se centra en atender mejor a sus clientes importantes, en vez de relacionarse con quienes no conocen”, afirmó Limor Kessem, especialista en fraude en línea y cibercrimen de RSA.

La experta aseguró que la masificación de los dispositivos móviles, del comercio electrónico y el incremento en el número de usuarios con acceso a la red incrementarán de manera considerable el número de delitos informáticos y amenazas digitales durante los próximos años.

“Nosotros fuimos la generación que se conectó a Internet, pero las nuevas generaciones nacen conectadas. Hoy, tenemos niños de cinco años que están desarrollando malware para vulnerar cuentas de Facebook”, dijo Kessem.

De acuerdo con la experta en ciberdelitos, el gran problema detrás del incremento de la tecnología y los dispositivos es la falta de educación y interés del usuario alrededor de los tema de seguridad.

“Si tratamos de que la sociedad tenga conciencia sobre estos temas nos tomará para siempre y es posible que de todos modos no sea efectivo. Lo que las empresas y gobiernos tienen que hacer es quitarle el paso de la seguridad al usuario, creando mejores sistema de autenticación”, dijo la experta.

Bajo ese modelo la apuesta de la firma de seguridad, es crear modelos de autenticación estadísticos, con perfiles granulares del usuario y con información contextual en tiempo real.

Robert Griffin, Arquitecto en Seguridad de RSA, ofrece una visión un poco más completa de la tendencia, al definirla como un CRM o sistema de identificación genómico pero de autenticación y manejo de identidades.

“Actualmente el acceso a la mayoría de los sistema está basado en si el usuario escribe bien o mal su contraseña. Pero qué pasaría si pudiéramos definir el ingreso basados en información como la forma en que escribes tu clave de acceso, la hora y los lugares en los que comúnmente ingresas, sin importar si está bien o mal escrita”, mencionó Griffin.

Aunque apenas es un pensamiento utópico, los ejecutivos de la firma asegura que un verdadero sistema de autenticación del futuro podría tomar a consideración información estructurada del negocio y correlacionarla con datos no estructurado o públicos como check-in en redes sociales, tuits, videos o inclusive fotos.

El mismo Griffin y el resto de los ejecutivos de RSA reconocieron que la gran preocupación del modelo tiene que ver con factores de privacidad y derechos humanos, pues en cierta medida las organizaciones recurrirían a datos personales de los usuarios para realizar los análisis de riesgos del futuro.

Aunque no fue definido por la firmar con precisión, algunos expertos afirmaron que el modelo más viable para resolver la problemática reside en utilizar fragmentos de información, que entreguen el valor necesario para nutrir el análisis, pero que no lleguen a ser lo suficientemente específicos como para ser considerados datos personales.

En los últimos años la firma ha mantenido un nivel de inversión constante para reforzar su portafolio en las áreas de análisis de riesgos y amenazas y monitoreo en tiempo real, para combinarlos con el portafolio de productos de almacenamiento y Big Data de EMC.

En 2011, luego de haber sido vulnerada por un ciberataque avanzado, RSA tomó la decisión de adquirir NetWitness, firma especializada en la detección de amenazas avanzadas y monitoreo de redes corporativas.

El año pasado, RSA decidió integrar a su unidad de análisis y detección de fraude a Silver Tail, una compañía especializada en el uso de la analítica en tiempo real para la detección, combate y prevención de los delitos informáticos.

Kessem presumió que al año, los servicios de prevención y detección de fraude de RSA para el sector bancario protegen un promedio de 399 millones de transacciones bancarias Web (de crédito y débito), con un valor estimado de más de $1,002 millones de dólares.

Fuente | bsecure