Un grupo de hackers rusos tuvo acceso remoto a las salas de control de varios proveedores de energía de Estados Unidos, según el Departamento de Seguridad Nacional estadounidense.
Se trata de un grupo supuestamente patrocinado por el gobierno ruso al que se identificó previamente como “Dragonfly” o “Energetic Bear” (que en español se traduce como “libélula” y “oso energético”).
Los funcionarios le dijeron al diario estadounidense The Wall Street Journal que los hackers rusos se hicieron con “cientos de víctimas” en 2017 durante una extensa campaña para controlar las empresas eléctricas en la que pudieron haber causado apagones, y que esos ataques siguen activos.
Los atacantes habrían ganado acceso a redes aisladas de compañías públicas con relativa facilidad penetrando primero en las de algunos empleados clave con quienes establecieron relaciones de confianza.
Así, entraron en el sistema aunque las computadoras del centro de control no estuvieran conectadas a la red.
Inusual
Los hackers parecen haber usado ataques muy selectivos para poner en peligro las redes corporativas de pequeños proveedores.
Para ello enviaron emails a los empleados de más antigüedad y lograron que visitaran ciertos sitios web o redes sociales infectadas.
Se trata de ataques de tipo phishing (una técnica de persuasión a menudo usada por estafadores para engañar a sus víctimas).
- 6 técnicas de persuasión que usan los estafadores en internet y cómo identificarlas
- ¿Están Rusia y Occidente precipitándose hacia una guerra cibernética?
También usaron los denominados“waterhole attacks”, que suelen distribuirse a través de una página de confianza a menudo visitada por los empleados de una empresa. Y enviaron documentos adjuntos con archivos maliciosos.
Su objetivo fue hacerse pasar por usuarios activos de esas redes para extraer datos como la dirección IP, el nombre de usuario o el nombre del dominio.
Una vez que ganaron acceso, se familiarizaron con el funcionamiento de las plantas y los sistemas de energía.
El Departamento de Seguridad Nacional tomó algunas medidas para advertir del alcance de los ataques a los proveedores, según se lee en un informe publicado en The Wall Street Journal.
Y la agencia federal hizo algo inusual esta vez: hablar públicamente sobre ellos para advertir a las compañías que tal vez aún no saben que pudieron haber sido afectadas.
De “Fancy Bear” a “Energetic Bear”
Esta no es la primera vez que Estados Unidos vincula a Rusia con ataques informáticos.
Ya ocurrió en las elecciones presidenciales de 2016: el Comité Nacional Demócrata (DNC) descubrió “conductas sospechosas” en sus sistemas informáticos investigados por la firma de seguridad CrowdStrike.
La empresa identificó a dos grupos: uno que acababa de entrar al sistema (“Fancy Bear”, oso sofisticado) y otro que llevaba allí casi un año (“Cozy Bear”, oso amistoso).
“Lo atribuimos al gobierno ruso”, le dijo entonces a la BBC Shawn Henry, jefe de seguridad de Crowdstrike y ex subdirector ejecutivo del Buró Federal de Investigaciones (FBI).
El periodista Andrey Soshnikov, experto en temas de seguridad de BBC Rusia, declaró que tanto “Fancy Bear” como “Cozy Bear” son nombres usados por un grupo de ciberespionaje vinculado al gobierno ruso que los investigadores del FBI han llamado “The Dukes“ (“los duques”).
En cuanto a “Energetic Bear”, la firma de seguridad informática Kaspersky Lab dijo en un informe publicado el pasado mes de abril que está activo desde 2010.
“El grupo tiende a atacar diferentes compañías, con un foco especial en el sector industrial y energético”, se lee en el documento.
Las empresas atacadas por este tipo de hackers, aseguran, “están por todo el mundo, especialmente en Europa y Estados Unidos”.
También señalan que el número de ataques en Turquía aumentó significativamente entre 2016 y 2017. Otros países atacados fueron Brasil, Kazajistán o Vietnam.
“La variedad de las víctimas podría indicar la diversidad de los intereses de los atacantes”, explican los especialistas.
“Agresivos y numerosos”
“Han estado entrometiéndose en nuestras redes y posicionándose para un ataque”, le dijo al diario estadounidense el ex subsecretario de Defensa Michael Carpenter, quien ahora da clases en la Universidad de Pensilvania.
El experto en ciberseguridad Robert M. Lee, quien ayudó a investigar los ataques cuando salieron a la luz por primera vez el año pasado, dice que la amenaza a la infraestructura industrial “debe tomarse en serio”.
Los ataques “cada vez son más agresivos y numerosos”, expresó en Twitter.
https://twitter.com/RobertMLee/status/1021605909817171970
Sin embargo, también dijo que estos ataques marcaron los inicios de los intentos de Rusia de manipular las redes eléctricas.
Rusia ha negado en varias ocasiones estar vinculada a ataques con hackers en este tipo de infraestructuras.
Ucrania sufrió dos ataques en su sistema eléctrico en el pasado, uno en 2015 y otro en 2016.
El primero afectó a 225.000 personas y el segundo en torno a una quinta parte de la población que consume energía eléctrica en Kiev, su capital. Ambos fueron vinculados con hackers rusos.
Ahora puedes recibir notificaciones de BBC News Mundo. Descarga la nueva versión de nuestra app y actívalas para no perderte nuestro mejor contenido.