El pasado 22 de septiembre, conocidos ciberdelincuentes que se sospecha están afiliados al gobierno de Corea del Norte, enviaron correos de spear phishing (correos electrónicos fraudulentos dirigidos a objetivos concretos) a compañías eléctricas de Estados Unidos. La compañía de seguridad FireEye ha confirmado que sus dispositivos han detectado y frenado estos correos. La firma asegura que esta acción supone una fase de reconocimiento, y no significa que sea el preludio de un ciberataque inminente.

Probablemente, podría llevar meses de preparación para evitar que sea detectado, según se ha comprobado en el modus operandi de otros grupos de ciberamenazas. FireEye ha detectado previamente otros grupos que posiblemente estén relacionados con el gobierno norcoreano, que ya han lanzado ataques contra centrales eléctricas de Corea del Sur, aunque en esos casos no consiguieron interrumpir el suministro de energía.

¿Intento de amenaza o ciberespionaje?

Por el momento, la compañía asegura que no ha descubierto ninguna evidencia de que esos grupos cibercriminales tengan capacidades de hacer daño real, como por ejemplo poder usar herramientas para comprometer los ICS, Sistemas de Control Industrial, que son los que regulan el suministro de energía de estas centrales. Se cree que estas acciones están más relacionadas con operaciones de ciberespionaje, para recabar información de inteligencia y prepararse para posibles contingencias.

La firma FireEye ha detectado más de 20 grupos de ciberamenazas (que se sospecha que están patrocinados por al menos otros cuatro países) que están intentando conseguir acceso a objetivos en el sector energético. Estos podrían haber sido usados para provocar interrupciones del servicio. Los pocos ejemplos de alteraciones en las instalaciones del sector de la energía han sido causados por actividades cibernéticas que requieren pasos técnicos y operativos adicionales que estos actores norcoreanos no parecen haber hecho o no han mostrado tener la habilidad para llevarlos a cabo.

Ataques a plantas de energía, mucho ruido y pocas nueces (de momento)

En diciembre de 2014, el gobierno surcoreano dio a conocer datos del ataque a una planta de energía gestionada por Korea Hydro and Nuclear Power (KHNP) con un malware de borrado de archivos, ligado potencialmente a actores norcoreanos. Sin embargo, este incidente no probó la capacidad de interrumpir las operaciones. En su lugar, se filtraron documentos con información sensible de KHNP como parte del esfuerzo para exagerar el acceso que tenían y avergonzar al gobierno surcoreano. FireEye determinó en ese momento que Corea del Norte volvería a usar esta técnica para inspirar miedo, o cumplir sus objetivos de propaganda interna.