Dragonfly es una APT (Advanced Persistent Threat) que ha infectado mediante la realización de ataques en profundidad, a más de 2.470 víctimas pertenecientes a diferentes sectores.

Inicialmente Dragonfly afectó a las instalaciones del sector eléctrico pero recientemente se ha descubierto cómo los sectores farmacéuticos, alimentación y bebidas y aguas, son también objetivo de este malware.

Para llevar a cabo sus objetivos, entre los que se encuentran los de comprometer equipos, obtener contraseñas e información, degradar rendimiento de sistema, acceder por puertas traseras, facilitar la escritura no autorizada sobre equipos asociados a entornos IT y OT o realizar denegaciones de servicio, utilizaba tres RAT (Remote Access Toolkit):

    • HAVEX (también denominado Backdoor.Oldrea o Energetic Bear RAT)
    • Karagany
    • Sysmain

En cualquiera de los tres casos, los objetivos de los RAT eran los de permanecer en el objetivo (PC infectado), normalmente a través de un troyano y facilitar la comunicación con el C2 (Command&Control) para actualizarse y ejecutar módulos adicionales (payloads).

Dragonfly utilizaba tres vectores de ataque:

    • Acciones de eMail spear-fishing
    • Ataques de Watering hole (basados en clickjacking)
    • Infección a través de troyanos descargados desde websites  de  proveedores ICS

En cuanto al eMail spear-fishing, el ataque se produjo remitiéndose correos a directivos de 7 compañías del sector eléctrico, en los que se adjuntaba un fichero tipo Adobe XML Data Package (XDP). El asunto del correo se describía como: “The account” y/o “Settlement of delivery problema”. El fichero XDP utilizado por Dragonfly aprovechaba la vulnerabilidad CVE-2011-0611 de PDF/SWF, permitiendo que la librería PE-DLL de Havex fuera desencriptada, instalada y ejecutada.

Los ataques de Watering hole se producían a través de clickjacking. Diferentes iFrames ocultos en espacios web confiables, redirigían a las víctimas a otros sitios maliciosos. Los espacios web confiables eran sitios basados en gestores de contenidos tipo WordPress, Drupal o Joomla. Los espacios maliciosos contenían código JAVA y HTML malicioso que permitían explotar las vulnerabilidades CVE-2012-1723, CVE-2013-2465 de JAVA y las CVE-2012-4792 y CVE-2013-1347 de Internet Explorer. Esto facilitaba la instalación de HAVEX en los PC´s de los visitantes de estas páginas.

Por último las páginas web de las compañías Mesa Imaging (proveedor de cámaras utilizadas para visión guiada de vehículos en entornos industriales, eWon y MB Connect (proveedores de soluciones para el acceso remoto y telemantenimiento de entornos industriales) fueron infectadas, de manera que los usuarios bajaban software en principio no malicioso (drivers principalmente), que contenían diferentes tipos de troyanos.

Si quieres conocer más, te recomendamos que asistas a nuestro webinar.

Shares
Share This