Da clic aquí y encuentra más información de Línea Directa Portal en nuestra página de Google News
EU.- El espionaje y conspiración, son dos delitos que se castigan severamente en Estados Unidos, y hoy en día, retoma una alerta mundial para dar con tres hombres nacionalizados rusos, que causaron importantes daños a las redes de infraestructura crítica de una de las naciones más poderosas del mundo.
Mediante un comunicado compartido por el Buró Federal de Investigaciones -FBI- se indicó que el Departamento de Justicia reveló las acusaciones contra tres rusos presuntamente responsables de una campaña persistente y de larga duración para atacar e infiltrarse en las redes de infraestructura crítica en los Estados Unidos y en todo el mundo.
Los cargos alegan que Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov y Marat Valeryevich Tyukov formaban parte de una unidad operativa de inteligencia rusa que los expertos en seguridad denominaron “Dragonfly”, “Berserk Bear”, “Energetic Bear” y “Crouching Yeti”
La unidad es parte de una entidad llamada Centro 16 en el Servicio de Seguridad Federal de Rusia (FSB), una agencia sucesora de la KGB soviética; la supuesta operación se produjo en dos fases: La primera involucró la implementación de un implante de malware personalizado conocido por los expertos en seguridad cibernética como Havex, que infectó a una cantidad significativa de organizaciones en el sector energético global.
La segunda fase incluyó compromisos específicos de entidades del sector energético e individuos e ingenieros que trabajaron con sistemas de control industrial (ICS) y sistemas de control de supervisión y adquisición de datos (SCADA).
En conjunto, estas intrusiones podrían haber tenido un impacto devastador en el suministro de energía en todo el mundo. La primera fase se extendió entre al menos 2012 y 2014 y dio como resultado que Havex se descargara en más de 17 000 dispositivos únicos en los Estados Unidos y otras naciones
Un analista de inteligencia del FBI que trabajó en el caso dijo que el grupo había utilizado una combinación de técnicas para implementar Havex, incluidos amplios esfuerzos para lanzar una red amplia en todo el sector energético mundial, pero también técnicas bien investigadas y específicas para llegar a empresas e individuos específicos.
Entre las técnicas más alarmantes utilizadas con Havex estaba el compromiso de conspiración de una empresa que fabrica equipos y software utilizados por los sistemas ICS/SCADA, que son los mecanismos de control y seguridad que existen dentro de las instalaciones de producción de energía y otros entornos operativos.
Por razones de seguridad, estos son típicamente sistemas cerrados, pero debido a que el grupo había obtenido acceso a los sistemas de una empresa que proporciona un componente de estos sistemas, pudieron ocultar su malware dentro de las actualizaciones de software ofrecidas por la empresa, una técnica conocida como ataque a la cadena de suministro.
La segunda fase involucró intrusiones dirigidas de empresas del sector energético, incluida una intrusión en 2017 de la red comercial de una planta de energía nuclear en Kansas. Esta red empresarial no estaba conectada directamente a ningún dispositivo ICS/SCADA, y un agente especial del FBI que investigó el caso dijo que no encontró evidencia de que los piratas informáticos tomaran datos confidenciales de valor de inteligencia, y aparentemente el objetivo era simplemente obtener y mantener el acceso.
“Lo que significa que, en una fecha posterior, podrían haber utilizado este acceso para afectar o dañar la red de energía u otras operaciones críticas dentro de los Estados Unidos”, explicó el agente.
La intrusión de Kansas en 2017 fue parte de un ataque múltiple. “Cuando pelamos la cebolla, descubrimos que se trataba de una campaña mucho más grande dirigida al sector energético mundial con una suma de alrededor de 500 empresas en todo el mundo”, dijo el agente.
“Creemos que se dirigieron a casi 3 mil 300 personas a través de una campaña de phishing de meses de duración”, destacaron expertos.
Como parte de esta fase, el grupo también está acusado de violar la red de una empresa constructora estadounidense. El acceso a esa red permitió al grupo enviar correos electrónicos que parecían legítimos con el currículum de una persona que afirmaba tener habilidades específicas de la industria. El currículum contenía un código malicioso que las víctimas podían descargar sin darse cuenta cuando revisaban el documento.
El grupo también había comprometido varios sitios web, incluidos los de publicaciones de la industria leídas por ingenieros en el sector energético. Esos sitios se convirtieron en lo que los expertos en ciberseguridad llaman pozos de agua, donde el sitio en sí está sembrado de código malicioso que los visitantes pueden descargar sin darse cuenta.