Início / Actualidad industrial / Malware Havex dirigido a los controles industriales y servidores OPC

Malware Havex dirigido a los controles industriales y servidores OPC

Organizaciones dedicadas a la ciber-seguridad han emitido advertencias acerca de una campaña del malware Havex dirigido a los sistemas de control industrial (ICS) de al menos tres proveedores, incluidos los sistemas que ejecutan servidores OPC.

Malware Havex dirigido a los controles industriales y servidores OPC

 La campaña de ataques de malware, conocida como Dragonfly or Energetic Bear se cree que procede de Europa del Este (probablemente Rusia)  y utiliza diversas técnicas para infectar sistemas de control. Sus orígenes se remontan a 2011 o antes, y el grupo detrás de él podría haber hackeado los sistemas en más de 1.000 empresas en más de 80 países durante los últimos 18 meses. 

El objetivo principal de los ciber-ataques parece ser porespionaje industrial, pero el especialista en seguridad cibernética de Symantec señala que si el grupo explota las capacidades de sabotaje, podrían dañar o alterar los sistemas de control y suministro de energía en los países afectados. 

De acuerdo con Symantec, la estrategia de ataque más ambicioso de Dragonfly  ha sido para infectar el software de los proveedores de equipos de ICS con una RAT (tipo de acceso remoto) Troyano para que cuando los usuarios finales descarguen actualizaciones de software de sus proveedores, se instale el malware en sus sistemas. El malware, conocido como Havex o Oldrea, se encontró por primera vez en un producto utilizado para proporcionar VPN (red privada virtual) el acceso a los PLC. Por el momento el vendedor descubrió el ataque, había habido 250 descargas del software comprometida. 

Otro proveedor que fue atacado era un fabricante europeo de autómatas especializados. En este caso, un paquete de software que contiene un controlador de dispositivo se ha visto comprometida y estaba disponible para su descarga durante al menos seis semanas en junio y julio de 2013. 

Una tercera empresa a ser atacado era una empresa europea que desarrolla sistemas para gestionar las turbinas de viento, plantas de biogás y otros equipos de energía. Symantec cree que el software comprometido estaba disponible para su descarga durante unos diez días en abril de 2014. 

Otro especialista ciberseguridad F-Secure dice que ha encontrado y analizado 88 variantes de la RAT Havex utilizado para obtener acceso a datos de las redes industriales y las máquinas. Se trazó alrededor de 1.500 direcciones IP para identificar a las posibles víctimas y se encontró que el malware se había comunicado con 146 servidores de comando y control (C & C).

Havex está estrechamente relacionada con la Sysmain RAT, e incluso puede ser un derivado.  El troyano se distribuye a través de phishing,phishing, watering-hole attacks, y por inclusion en exploit kits (como LightsOut). Esta familia se aprovecha de OLE for Process Control (OPC)

Según F-Secure, los atacantes están interesados ​​no sólo en poner en peligro las redes de organizaciones específicas, sino que también están motivados para controlar sus ICS y sistemas SCADA. "La fuente de esta motivación no es clara para nosotros", dice F-Secure. 

F-Secure ha identificado tres proveedores de software de control industrial cuyos sitios Web fueron allanadas y los instaladores de software legítimos con troyanos que incorporar el Havex RAT. "Tenemos la sospecha de que existen más casos similares, pero aún no se han identificado", añade

Mas info:

Alerta del ICS

Havex Industrial Control System Malware: FAQ from InduSoft

Dragonfly: Western Energy Companies Under Sabotage Threat

Más información