Un grupo de hackers rusos tuvo acceso remoto a las salas de control de varios proveedores de energÃa de Estados Unidos, según el Departamento de Seguridad Nacional estadounidense.
Se trata de un grupo supuestamente patrocinado por el gobierno ruso al que se identificó previamente como «Dragonfly» o «Energetic Bear» (que en español se traduce como «libélula» y «oso energético»).
Los funcionarios le dijeron al diario estadounidense The Wall Street Journal que los hackers rusos se hicieron con «cientos de vÃctimas» en 2017 durante una extensa campaña para controlar las empresas eléctricas en la que pudieron haber causado apagones, y que esos ataques siguen activos.
Los atacantes habrÃan ganado acceso a redes aisladas de compañÃas públicas con relativa facilidad penetrando primero en las de algunos empleados clave con quienes establecieron relaciones de confianza.
AsÃ, entraron en el sistema aunque las computadoras del centro de control no estuvieran conectadas a la red.
Los hackers parecen haber usado ataques muy selectivos para poner en peligro las redes corporativas de pequeños proveedores.
Para ello enviaron emails a los empleados de más antigüedad y lograron que visitaran ciertos sitios web o redes sociales infectadas.
Se trata de ataques de tipo phishing (una técnica de persuasión a menudo usada por estafadores para engañar a sus vÃctimas).
También usaron los denominados«waterhole attacks», que suelen distribuirse a través de una página de confianza a menudo visitada por los empleados de una empresa. Y enviaron documentos adjuntos con archivos maliciosos.
Su objetivo fue hacerse pasar por usuarios activos de esas redes para extraer datos como la dirección IP, el nombre de usuario o el nombre del dominio.
Una vez que ganaron acceso, se familiarizaron con el funcionamiento de las plantas y los sistemas de energÃa.
El Departamento de Seguridad Nacional tomó algunas medidas para advertir del alcance de los ataques a los proveedores, según se lee en un informe publicado en The Wall Street Journal.
Y la agencia federal hizo algo inusual esta vez: hablar públicamente sobre ellos para advertir a las compañÃas que tal vez aún no saben que pudieron haber sido afectadas.
De «Fancy Bear» a «Energetic Bear»
Esta no es la primera vez que Estados Unidos vincula a Rusia con ataques informáticos.
Ya ocurrió en las elecciones presidenciales de 2016: el Comité Nacional Demócrata (DNC) descubrió «conductas sospechosas» en sus sistemas informáticos investigados por la firma de seguridad CrowdStrike.
La empresa identificó a dos grupos: uno que acababa de entrar al sistema («Fancy Bear», oso sofisticado) y otro que llevaba allà casi un año («Cozy Bear», oso amistoso).
«Lo atribuimos al gobierno ruso», dijo entonces Shawn Henry, jefe de seguridad de Crowdstrike y ex subdirector ejecutivo del Buró Federal de Investigaciones (FBI).
El periodista Andrey Soshnikov, experto en temas de seguridad, declaró que tanto «Fancy Bear» como «Cozy Bear» son nombres usados por un grupo de ciberespionaje vinculado al gobierno ruso que los investigadores del FBI han llamado «The Dukes« («los duques»).
En cuanto a «Energetic Bear», la firma de seguridad informática Kaspersky Lab dijo en un informe publicado el pasado mes de abril que está activo desde 2010.
«El grupo tiende a atacar diferentes compañÃas, con un foco especial en el sector industrial y energético», se lee en el documento.
Las empresas atacadas por este tipo de hackers, aseguran, «están por todo el mundo, especialmente en Europa y Estados Unidos».
También señalan que el número de ataques en TurquÃa aumentó significativamente entre 2016 y 2017. Otros paÃses atacados fueron Brasil, Kazajistán o Vietnam.
«La variedad de las vÃctimas podrÃa indicar la diversidad de los intereses de los atacantes», explican los especialistas.
«Agresivos y numerosos»
«Han estado entrometiéndose en nuestras redes y posicionándose para un ataque», le dijo al diario estadounidense el ex subsecretario de Defensa Michael Carpenter, quien ahora da clases en la Universidad de Pensilvania.
El experto en ciberseguridad Robert M. Lee, quien ayudó a investigar los ataques cuando salieron a la luz por primera vez el año pasado, dice que la amenaza a la infraestructura industrial «debe tomarse en serio».
Los ataques «cada vez son más agresivos y numerosos», expresó en Twitter.
Sin embargo, también dijo que estos ataques marcaron los inicios de los intentos de Rusia de manipular las redes eléctricas.
Rusia ha negado en varias ocasiones estar vinculada a ataques con hackers en este tipo de infraestructuras.
Ucrania sufrió dos ataques en su sistema eléctrico en el pasado, uno en 2015 y otro en 2016.
El primero afectó a 225.000 personas y el segundo en torno a una quinta parte de la población que consume energÃa eléctrica en Kiev, su capital. Ambos fueron vinculados con hackers rusos.
Twitter Facebook Instagram