El malware Dragonfly (Havex) se centra en el sector farmacéutico
Un nuevo análisis del malware Dragonfly (Havex) sugiere que ha estado atacando a las industrias de bienes de consumo, especialmente en el sector farmacéutico y no a las instalaciones de energía.
Dragonfly es uno de los ataques más avanzados desde Stuxnet y se dirige a los componentes específicos del sistema de control industrial (ICS). El malware contiene un escáner protocolos industriales que busca dispositivos en los puertos TCP 44818 (utilizado por Omron y Rockwell Automation), 102 (Siemens) y 502 (Schneider Electric). De acuerdo con el especialista en comunicaciones industriales Belden, estos protocolos y productos estás mas presentes en aplicaciones de embalaje y fabricación y se encuentran típicamente en las industrias de bienes de consumo envasados, tales como productos farmacéuticos, en lugar de la industria de la energía.
La edad de malware dirigido específicamente a sistemas de control industrial (ICS) se inició en 2010, cuando Stuxnet fue revelado que interrumpir las operaciones en una de las instalaciones de enriquecimiento nuclear de Irán. Desde entnces, hemos visto malware avanzado, como Flame y Duqu dirigido a empresas de energía para fines de espionaje. También hemos sido testigos de la poco sofisticada, pero muy eficaz, malware Shamoon infiltran masivamente Saudi Aramco.
Belden ha encargado al experto en seguridad ICS independiente, Joel Langill de RedHat Cyber la investigación en profundidad del malware Dragonfly. Se centró en la ejecución del código malicioso en los sistemas que reflejan configuraciones de ICS en el mundo real y observar el impacto del malware.
Langill también informa de que el ataque de Dragonflyes similar a otra campaña llamada Epopeya Turla y que es probable que haya sido gestionado por el mismo equipo. Epopeya Turla se ha dirigido contra la propiedad intelectual de las compañías farmacéuticas.
"Mi investigación, junto con mi conocimiento de la industria farmacéutica, me llevó a la conclusión de que era el blanco Dragonfly", dice Langill. "El daño potencial podría incluir el robo de recetas propias y de secuencias de pasos de lotes de producción, así como de la red y dispositivo de información que indican volúmenes y capacidades de la planta de fabricación."
¿Cómo se introduce el Malware dentro de los Sistemas de Automatización Industrial?
Demostrando una vez más que hay múltiples vías para el control de los sistemas, el software malicioso Dragonfly se distribuye mediante tres tipos de ataque:
# Email Campaign - Los ejecutivos y empleados de alto rango fueron atacados con un archivo PDF malicioso adjunto de febrero a junio de 2013.
# Watering Hole Attack - Websites con posibilidades de ser visitados por personas que trabajan en el sector de la energía se infectaron de forma que redirigen al visitante del sitio a otra página web donde hay un exploit kit. El paquete de exploits a continuación, instala el RAT. Este método de distribución se inició en junio de 2013.
# Software descargado de proveedores de softwares ICS - Las descargas de software de tres proveedores de soluciones ICS fueron hackeados para que incluyeron el malware RAT. Las empresas son eWON, MB Connect y Mesa Imaging y los hacks se produjeron en junio-julio de 2013 y en enero de 2014 Las tres empresas ofrecen productos y servicios más utilizados por la industria farmacéutica.
