Desde el año pasado, el equipo de F-Secure se encuentra realizando una estrecha vigilancia sobre la familia del malware Havex, diseñado para atacar a empresas industriales, de preferencia del sector energético.
El virus está programado para infectar los sistemas de control industrial (ICS) de SCADA (supervisión, control y adquisición de datos), con capacidad de desactivar presas hidroeléctricas, sobrecargar las centrales nucleares e incluso apagar la red eléctrica de un país con solo pulsar un botón.
Desde hace unos meses se descubrió que Havex tiene un específico interés en sistemas de control industrial y utiliza un innovador enfoque de caballo de troya para comprometer a las víctimas. De acuerdo con los expertos, el troyano es una herramienta de control remoto genérica (RAT, por sus siglas en inglés) que recientemente se ha utilizado para llevar a cabo espionaje industrial contra una serie de empresas en Europa que utilizan o desarrollan programas y maquinaria industrial.
El equipo de F-Secure analizó 88 variantes de Havex RAT utilizado para obtener acceso a datos de redes y máquinas de interés. Este análisis incluyó la investigación de 146 comandos y control (C & C) de los servidores contactados por las variantes, que a su vez participan rastreando alrededor de 1.500 direcciones IP en un intento de identificar a las víctimas.
Además de los métodos de infección tradicionales como los ‘exploits’ y correos electrónicos de ‘spam’, los ciberdelincuentes también utilizan un nuevo método eficaz para difundir Havex RAT: hackean los sitios web de compañías de software y buscan aplicaciones legales vulnerables en las que instalan el troyano.
Durante la instalación, la configuración del software corrupto suelta un archivo denominado ‘mbcheck.dll’, que es en realidad RAT, y que los atacantes utilizan como ‘puerta trasera’. Según los expertos en seguridad, los atacantes usan el servidor de control para el troyano (C&C) que da instrucciones a los ordenadores infectados de que descarguen y ejecuten otros componentes del software infectado.
Organizaciones Objetivo
F-Secure consiguió localizar algunos de los sistemas infectados y también identificó algunas organizaciones afectadas, las cuales estarían asociadas de alguna manera con el desarrollo o la utilización de aplicaciones industriales o máquinas.
La mayoría de las empresas que fueron víctimas de los ataques se encuentran en Europa, aunque también existiría al menos una compañía ubicada en California. De las organizaciones con sede en Europa, dos corresponden a importantes instituciones educativas de Francia, las cuales son conocidas efectuar investigación relacionada con la tecnología. También se identificaron dos empresas alemanas del sector industrial, una compañía francesa fabricante de maquinaria y otra empresa rusa que se especializa en ingeniería estructural.
—
Ilustración: JMiks © Shutterstock.com