Symantec a demascat Dragonfly, o campanie de spionaj si atac cibernetic în sectorul energetic

01.07.2014
Symantec a demascat Dragonfly, o campanie de spionaj si atac cibernetic în sectorul energetic

Symantec a descoperit o campanie de spionaj cibernetic care vizează ţinte multiple din sectorul energetic nord-american şi european, specialiştii companiei investigând încă de la începutul acestui an reţeaua denumită Dragonfly. Aceasta a fost folosită pentru activităţi de spionaj, însă modulele sale software includ şi opţiuni capabile să provoace pagube materiale sau întreruperea reţelelor energetice naţionale.

Conform documentului publicat de Symantec, grupul Dragonfly, cunoscut şi sub numele de Energetic Bear, pare să fi devenit operaţional cel puţin din 2011 şi este posibil să fi fost activ încă dinainte. Creatorii reţelei Dragonfly au vizat iniţial companii din industria de apărare şi aeronautică din Statele Unite şi Canada, însă reţeaua a fost reorientată ulterior către companii din domeniul energetic de pe teritoriul Statelor Unite şi Uniunii Europene.

Printre ţintele grupului Dragonfly s-au numărat operatori ai reţelelor de distribuţie energetică, mari firme generatoare de electricitate, operatori ai conductelor de petrol, precum şi furnizori de echipamente industriale din domeniul energetic. Majoritatea companiilor care au fost vizate sunt localizate în Statele Unite, Spania, Franţa, Italia, Germania, Turcia şi Polonia. Printre ţările afectate se numără şi România, acesta fiind victima a 15 atacuri de acest tip.

Campania Energetic Bear a fost semnalată pentru prima oară în luna ianuarie a acestui an, CrowdStrike detectând la acea vreme doar metodele de furt tehnologic şi acuzând Rusia că ar fi vinovată de această campanie.

Grupul Dragonfly are resurse vaste şi dispune de o varietate de unelte malware, fiind capabil să lanseze atacuri prin intermediul mai multor vectori. Cea mai ambiţioasă campanie de atac a Dragonfly s-a soldat cu compromiterea unor furnizori de echipamente pentru sisteme de control industrial (ICS), cărora le-a infectat programele software cu un virus de tip troian cu capacitate de acces de la distanţă. Astfel, companiile instalau malware atunci când descărcau actualizări software pentru computerele care controlau echipamentele ICS. Aceste infectări nu doar că le oferă atacatorilor o cale de acces la reţelele interne ale organizaţiilor vizate, ci le-a permis totodată organizarea unor operaţiuni de sabotaj împotriva computerelor ICS infectate.

Specialiştii Symantec au observat o serie de similarităţi între Dragonfly şi Stuxnet, prima campanie majoră cunoscută de atacuri malware asupra sistemelor ICS. Însă, în timp ce Stuxnet a fost concentrat exclusiv pe programul nuclear iranian, având sabotajul ca unic scop principal, Dragonfly are ca scop primar spionajul şi accesul nerestricţionat, în timp ce sabotajul este doar o capabilitate opţională care poate fi utilizată acolo unde este necesar.

Grupul Dragonfly utilizează două programe malware principale în atacurile sale. Ambele sunt malware de tip remote access tool (RAT – program pentru accesul de la distanţă), care le oferă atacatorilor acces şi control asupra computerului compromis. Dintre acestea, programul malware favorit al grupului Dragonfly este Backdoor.Oldrea, cunoscut şi sub numele de Havex sau Energetic Bear RAT (RAT-ul Ursul Energetic). Odată instalat pe computerul unei victime, programul Oldrea adună informaţii despre sistem, precum şi liste de fişiere, programe instalate şi structura partiţiilor disponibile. De asemenea, programul va extrage informaţii din agenda de adrese Outlook a computerului, precum şi din fişierele ce configurează reţeaua VPN. Aceste informaţii sunt apoi scrise şi criptate într-un fişier temporar, care este apoi transmis unui server de comandă şi control aflat în subordinea atacatorilor.

Cea de-a doua unealtă principală folosită de grupul Dragonfly este Trojan.Karagany. Spre deosebire de Oldrea, Karagany era deja disponibil pe piaţa neagră. Codul sursă pentru prima versiune a programului Karagany a fost dezvăluit în 2010. Symantec suspectează că grupul Dragonfly a modificat acest cod sursă pentru propriile scopuri. Karagany are capacitatea de a partaja informaţia furată, a descărca fişiere noi şi a rula fişiere executabile pe un computer infectat. Poate de asemenea să ruleze extensii adiţionale, precum unelte pentru colectarea parolelor sau a capturilor de ecran, şi să catalogheze documentele de pe computerele infectate. 

Grupul Dragonfly a utilizat cel puţin trei tactici principale de infectare în atacurile sale asupra sectorului energetic. Pe lângă clasicul spam, creatorii au inserat malware în diverse pagini Web cu specific energetic şi chiar au trecut la modificarea unor pachete software legitime oferite pentru descărcare de producători. Symantec a descoperit cel puţin trei cazuri în care aplicaţiile oferite de producătorii de circuite integrate specializate sau de alte echipamente din domeniul energetic au fost modificate şi infectate cu malware.

Dragonfly nu este prima campanie cibernetică concepută să atace infrastructura energetică a unor naţiuni. În 2009, Statele Unite au descoperit mai mulţi troieni folosiţi pentru spionaj şi control de la distanţă care au fost implantaţi în sistemele de management ale reţelei electrice naţionale, aceştia putând  fi folosiţi pentru blocarea distribuţiei energiei în caz de război. La acea vreme, SUA a acuzat China şi Rusia, însă, ca de obicei, autorii şi-au acoperit suficient de bine urmele pentru a nu fi demascaţi.

Urmărește Go4IT.ro pe Google News