Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Mapeo de Dragonfly 2.0 sobre la Matriz ICS de MITRE ATT&CK

Fecha de publicación 21/03/2024
Autor
INCIBE (INCIBE)
Imagen decorativa del blog

Actualmente, las infraestructuras industriales o SCI (sistemas de control industrial) son uno de los principales objetivos de ataques por parte de grupos cibercriminales. En muchos casos, esto supone una grave amenaza ya no solo para la producción de la organización o empresa afectada, sino también para la salud de los trabajadores, la población o incluso para el país en el que se encuentre dicha empresa, en el caso de estar catalogada como infraestructura crítica o si su negocio es de alta relevancia para el estado.

A lo largo de este artículo, se va a analizar un malware con un impacto relativo en el mundo industrial, permitiendo conocer cómo se realizan este tipo de ataques y como debería analizarse. 

Descripción del ataque

El ataque seleccionado para este análisis es Dragonfly 2.0, el cual, pese a no ser tan conocido como otros tipos de ataques, sí que fue relevante por el método y los objetivos que lo motivaron. 

Este ataque fue orquestado por el grupo Dragonfly, bastante conocido por realizar diferentes ataques a empresas del sector energético. Surgió en el año 2011 y en el año 2014 ejecutaron uno de sus ataques más conocidos, logrando atacar con éxito diferentes sistemas de control industrial del sector energético de centro Europa.

El ataque Dragonfly 2.0 se ejecutó el 11 de diciembre de 2017 mediante la introducción de un USB en una estación de ingeniería de una infraestructura crítica en Medio Oriente.

Como se podrá ver a continuación, el grupo Dragonfly tiene motivaciones de sabotaje y también de aprendizaje sobre las infraestructuras a las que ataca, además, concretamente Dragonfly 2.0 empleó tácticas y técnicas de la Matriz ICS de MITRE ATT&CK para lograr su objetivo.

Localizaciones atacadas

Dragonfly 2.0 no se ejecutó contra un único objetivo, sino que su despliegue fue a nivel mundial, afectando a países como EEUU, Turquía o Suiza, como se observa en la siguiente ilustración:

Países afectados por Dragonfly 2.0

- Países afectados por Dragonfly 2.0. Fuente -

Vectores de infección

Para obtener un análisis inicial, no solo del ataque sino del grupo, es recomendable indagar en los métodos de acceso o vectores de infección utilizados por el grupo de ciber atacantes.

Dragonfly 2.0 destaca no solo por haber conseguido tener un impacto relativo en diferentes entornos industriales, sino también por su versatilidad a la hora de utilizar diferentes vectores de infección para conseguir acceso a la red, entre los más destacados:

  • Phising por email: primer vector de infección utilizado por Dragonfly en diferentes ataques a infraestructuras industriales. Este tipo de vectores de infección en el caso del grupo Dragonfly se caracterizan por el envío de malware a través de correos electrónicos de phishing al personal relacionado con los entornos industriales de la empresa objetivo.
  • Ataques watering hole: Este término hace referencia a cómo Dragonfly dirigía sus ataques a través de páginas web de confianza para los operarios de la planta industrial. Este tipo de vector de infección requiere de un estudio muy avanzado de la empresa objetivo. Además, en el caso concreto de Dragonfly, se caracteriza por implementar kits de explotación en los sitios web para que este derivase el malware sobre el servidor del operario industrial.
  • Software legítimo comprometido: Dragonfly comprometía diferentes elementos de software legítimo con el fin de transferir el malware a los dispositivos objetivo.
  • Troyanos: Desde 2017, también implementaron la utilización del framework de evasión Shelter, con capacidades de desarrollo de aplicaciones con troyanos para obtener control o acceso remoto de máquinas objetivo.

Herramientas empleadas

Dragonfly 2.0 empleó diferentes tipos de herramientas muy bien definidas y muy comunes en ataques genéricos a entornos industriales:

  • Phishing: el ataque analizado (específico) utilizó campañas de phishing adjuntando software malicioso en los emails.
  • Troyanos: se utilizó software troyano como arma inicial para lograr el acceso a la red de un equipo utilizado por un usuario con permisos de operario en la planta industrial. Entre los troyanos utilizados se encontraron trazas de Backdoor.Goodor, Backdoor.Dorshel y Trojan.Karagany.
  • Kit Phishery: uso del kit de herramientas Phishery para llevar a cabo ataques e-mailing para el robo de credenciales.
  • RAT: troyano de acceso remoto, introducido en el sistema objetivo, a través de phishing, para obtener acceso remoto.

Tácticas y técnicas empleadas

Como se podrá ver en este apartado, Dragonfly 2.0 empleó hasta nueve de las doce tácticas de las que dispone la Matriz ICS de MITRE ATT&CK. Por otro lado, empleó hasta siete técnicas, con sus correspondientes sub-técnicas, durante la realización del ataque. Estás tácticas y técnicas se encuentran descritas en nuestro artículo sobre el diseño de la matriz.

En primer lugar, se enumeran las tácticas empleadas y el porqué de su uso junto con las técnicas utilizadas agrupadas dentro de las tácticas:

  • Initial access: varias de las herramientas indicadas anteriormente indican el empleo de esta táctica para tratar de obtener acceso al sistema:
    • Driven-by compromise: utilización de páginas web para obtener acceso a los sistemas de las víctimas.
    • Exploitation of remote services: aprovechando vulnerabilidades presentes en el software para introducir software especialmente diseñado que permitía ejecutar acciones remotas.
    • Remote services: utilizó el protocolo SMB para obtener archivos, comprimirlos y encriptarlos de forma remota.
    • Spearphising attachment: se hizo uso del Backdoor.Oldrea RAT distribuido a través de instaladores troyanizados, adjuntados en los emails enviados a las víctimas.
  • Execution: Dragonfly 2.0 ejecutó comandos en los sistemas de control.
    • Commnad-line interface: se utilizó CLI (Command Line Interfaces) para interactuar con los sistemas, pudiendo así enumerar cuentas de usuarios de dominio y agregar cuentas recién creadas al grupo de administradores. 
    • Valid acoyuntes: Dragonfly 2.0 se caracterizó sobre todo por el robo de información, no está totalmente contrastado, pero, existen evidencias del robo de credenciales para poder ejecutar otros pasos del ataque ya que sin esas credenciales sería de gran complejidad.
  • Privilege escalation: la ejecución del malware permitió realizar acciones para establecer cuentas con privilegios de administrador.
    • Exploitation for privilege escalation: se añadieron cuentas con nivel máximo de privilegios tras obtener las cuentas de usuario de dominio.
  • Evasion: el uso de diferentes aplicaciones para enmascarar el malware, indica claramente el uso de esta táctica.
    • Masquerading: Dragonfly 2.0 se caracterizó por enmascarar el malware para evitar las sospechas por parte de los operarios.
  • Discovery: se utilizó SMB para intentar obtener diferente información.
    • Remote system discovery: la asociación de esta táctica con el ataque Dragonfly 2.0 viene determinada por el uso del Backdoor.Oldrea. Este tipo de plugin de malware permite descubrir todos los servidores dentro de la red de Windows a los que el atacante puede acceder a través de la red.
    • Remote system information discovery: esta técnica permitió de forma remota obtener información de sistemas remotos y periféricos a través también del Backdoor.Oldrea.
  • Lateral movement: mediante la descarga de software y mediante el empleo de servicios remotos, Dragonfly 2.0 ejecutó movimientos laterales para obtener mayores privilegios.
    • Las técnicas empleadas dentro de la táctica lateral movement son tanto la exploitation of remote services, remote services y valid accounts explicadas en tácticas anteriores.
  • Collection: el uso del troyano Backdoor.Oldrea, indica la posibilidad de utilizar diferentes técnicas recogidas en esta táctica, y aunque no se tiene información contrastada, se cree firmemente que Dragonfly 2.0 buscaba recoger información sobre el objetivo. 
    • Theft of operation information: empleada para el robo de información del entorno de producción. 
  • Impact: el robo de información de los sistemas de control industrial.

- Tácticas y técnicas empleadas. -

Conclusión

A lo largo del artículo se ha realizado una introducción al grupo de ciberdelincuentes Dragonfly, la cual permite tener conocimiento básico sobre el grupo, sus métodos y sus objetivos. Posteriormente, se han introducido los diferentes vectores de ataque empleados por el grupo para junto con los conocimientos básicos explicados, comprender el funcionamiento básico del grupo atacante, siendo esta metodología extrapolable a cualquier otro grupo de ciberataque.

Por otro lado, se han definido y explicado las tácticas y técnicas empleadas durante el ataque Dragonfly 2.0, realizando un razonamiento de por qué se han empleado dichas tácticas y técnicas, permitiendo así tener una comprensión avanzada sobre el ataque y la capacidad para aplicar medidas de mitigación reduciendo así el posible daño ante un ataque similar. 

Tal y como se explicó a lo largo de los artículos dedicados al top 20 mitigaciones para entornos industriales, parte 1 y parte 2, existen diferentes posibilidades de mitigar los ataques que usen tácticas y técnicas descritas en la Matriz ICS de MITRE ATT&CK, es por ello, que la combinación entre un conocimiento avanzado del grupo atacante y las tácticas y técnicas empleadas junto con las posibles mitigaciones, hacen que un organismo o empresa industrial pueda defenderse mejor ante un ataque similar.