Symantec a descoperit o campanie de spionaj cybernetic care vizează ținte multiple, în principal din sectorul energetic din SUA și Europa. Specialiștii Symantec investighează de la începutul acestui an gruparea din spatele campaniei de spionaj, denumită Dragonfly, care a reușit să compromită un număr de organizații importante în scopuri de spionaj. Dacă Dragonfly și-ar fi folosit capabilitățile de sabotaj, ar fi putut cauza pagube sau întreruperi ale rețelelor de energie din țările afectate.
Printre țintele grupului Dragonfly s-au numărat operatori ai rețelelor de distribuție energetică, mari firme generatoare de electricitate, operatori ai conductelor de petrol, precum și furnizori de echipamente industriale din domeniul energetic. Majoritatea companiilor care au fost vizate sunt localizate în Statele Unite, Spania, Franța, Italia, Germania, Turcia și Polonia.
Grupul Dragonfly are resurse vaste și dispune de o varietate de unelte malware, fiind capabil să lanseze atacuri prin intermediul mai multor vectori. Cea mai ambițioasă campanie de atac a Dragonfly s-a soldat cu compromiterea unor furnizori de echipamente pentru sisteme de control industrial (ICS), cărora le-a infectat programele software cu un virus de tip troian cu capacitate de acces de la distanță. Astfel, companiile instalau malware atunci când descărcau actualizări software pentru computerele care controlau echipamentele ICS. Aceste infectări nu doar că le oferă atacatorilor o cale de acces la rețelele interne ale organizațiilor vizate, ci le-a permis totodată organizarea unor operațiuni de sabotaj împotriva computerelor ICS infectate.
Specialiștii Symantec au observat o serie de similarități între Dragonfly și Stuxnet, prima campanie majoră cunoscută de atacuri malware asupra sistemelor ICS. Însă, în timp ce Stuxnet a fost concentrat exclusiv pe sabotajul programului nuclear iranian, având sabotajul drept scop principal, Dragonfly pare să aibă un obiectiv mult mai larg și să aibă drept scop primar spionajul și accesul nerestricționat, în timp ce sabotajul este o capabilitate opțională, utilizată acolo unde este necesar.
Pe lângă compromiterea programelor ICS, Dragonfly a utilizat și campanii de e-mailuri spam și de atacuri de tip watering hole pentru a infecta organizațiile vizate. Grupul a folosit două unelte malware principale: Backdoor.Oldrea și Trojan.Karagany. Prima dintre ele pare să fie un program malware customizat, scris de către sau la comanda atacatorilor.
Symantec a notificat victimele afectate și autoritățile naționale relevante, precum Centrele de Răspuns în caz de Urgență Informatică (CERTs), care administrează și reacționează la incidentele de securitate pe Internet.
Istoric
Grupul Dragonfly, cunoscut și sub numele de Energetic Bear (Ursul Energetic), pare să fi devenit operațional cel puțin din 2011 și este posibil să fi fost activ încă dinainte. Grupul a atacat initial companii de apărare și aviație din Statele Unite și Canada și s-a reorientat la începutul anului 2013 spre companii din domeniul energetic din Europa și Statele Unite.
Campania de atac asupra sectorului energetic european și american și-a extins rapid orizonturile. Grupul și-a început activitatea prin trimiterea de programe malware către personalul firmelor vizate, în cadrul unor e-mailuri de tip phishing. Ulterior, grupul și-a adăugat în arsenal atacurile de tip watering hole, compromițând pagini web frecventate de angajații din domeniul energetic, cu scopul de a-i redirecționa spre pagini web ce conțin seturi de programe de exploatare. La rândul lor, aceste seturi de exploatare instalează programe malware pe computerul țintelor atacului. A treia etapă a campaniei a constat în infectarea cu viruși de tip troian a unor pachete de programe software legitime aparținând de trei producători diferiți de echipamente ICS.
Unelte folosite
Grupul Dragonfly utilizează două programe malware principale în atacurile sale. Ambele sunt malware de tip remote access tool (RAT – program pentru accesul de la distanță), care le oferă atacatorilor acces și control asupra computerului compromis. Dintre acestea, programul malware favorit al grupului Dragonfly este Backdoor.Oldrea, cunoscut și sub numele de Havex sau Energetic Bear RAT (RAT-ul Ursul Energetic). Oldrea se comportă ca o ușă secundară de acces al atacatorilor la computerul victimei, permițându-le să extragă informații și să instaleze și alte programe malware.
Odată instalat pe computerul unei victime, programul Oldrea adună informații despre sistem, precum și liste de fișiere, programe instalate și structura partițiilor disponibile. De asemenea, programul va extrage informații din agenda de adrese Outlook a computerului, precum și din fișierele ce configurează rețeaua VPN. Aceste informații sunt apoi scrise și criptate într-un fișier temporar, care este apoi transmis unui server de comandă și control (C&C) aflat în subordinea atacatorilor.
Cea de-a doua unealtă principală folosită de grupul Dragonfly este Trojan.Karagany. Spre deosebire de Oldrea, Karagany era deja disponibil pe piața neagră. Codul sursă pentru prima versiune a programului Karagany a fost dezvăluit în 2010. Symantec suspectează că grupul Dragonfly a modificat acest cod sursă pentru propriile scopuri. Această versiune este detectată de către Symantec ca Trojan.Karagany!gen1.
Karagany are capacitatea de a partaja informația furată, a descărca fișiere noi și a rula fișiere executabile pe un computer infectat. Poate de asemenea să ruleze extensii adiționale, precum unelte pentru colectarea parolelor sau a capturilor de ecran, și să catalogheze documentele de pe computerele infectate.
Symantec a descoperit că majoritatea computerelor compromise erau infectate cu Oldrea, Karagany fiind utilizat doar în aproximativ 5% din infectări. Cele două programe malware au funcții simillare și nu este clar de ce atacatorii aleg una sau alta dintre ele.
Vectori multiplii de atac
Grupul Dragonfly a utilizat cel puțin trei tactici de infectare în atacurile sale asupra sectorului energetic. Cea mai timpurie dintre ele a fost o campanie de e-mailuri de tip spam, în cadrul căreia anumiți factori de decizie și angajați cu vechime ai companiilor vizate primeau e-mailuri cu un atașament PDF infectat. Aceste e-mailuri aveau două posibile titluri: „Contul” sau „Rezolvarea problemei de livrare”, și toate erau trimise de pe o singură adresă de Gmail.
Campania de spam a început în februarie 2013 și a continuat până în iunie 2013. Symantec a identificat șapte organizații diferite vizate, cu un număr de e-mailuri trimise către fiecare, cuprins între 1 și 84.
Atacatorii și-au schimbat apoi tactica și au demarat atacuri de tip watering hole, prin care au compromis un număr de pagini web din domeniul energetic, introducănd în cadrul fiecăreia o linie de cod ce redirecționa vizitatorii către o altă pagină web legitimă deja compromisă, unde se afla setul de exploatare Lightsout. Acesta folosește vulnerabilități din cadrul Internet Explorer sau Java pentru a instala Oldrea sau Karagany pe computerul victimei. O dovadă în plus a capacităților tehnice redutabile ale grupului Dragonfly constă în faptul că atacatorii au reușit să compromită multiple pagini web legitime pentru fiecare etapă a operațiunii.
În septembrie 2013, grupul Dragonfly a început să folosească o nouă versiune a acestui set de exploatare, cunoscută drept setul de exploatare Hello. Pagina principală a acestui set conține linii de cod JavaScript ce iau amprenta sistemului, identificând ce extensii sunt instalate pe browserul utilizatorului. Victima este apoi redirecționată către un URL care la rândul său determină programul malware optim, pe baza informației colectate.
Programe software infectate cu viruși de tip troian
Cel mai ambițios vector de atac al grupului Dragonfly a fost compromiterea unui număr de pachete software legitime. Au fost luați în vizor trei producători diferiți de echipamente ICS, în pachetele de software disponibile pe paginile oficiale ale acestora fiind inserate programe malware. Toate trei companiile produceau echipamente utilizate în diverse sectoare industriale, inclusiv cel energetic.
Primul program legitim infectat cu virus troian era folosit pentru a permite accesul către rețele VPN unor dispozitive de tip programmable logic controller (PLC – dispozitiv de comandă cu programare logică). Producătorul a descoperit atacul în scurt timp, dar nu înainte ca programul compromis să fi fost descărcat de către 250 de utilizatori diferiți.
A doua companie compromisă a fost un producător european de dispozitive PLC specializate. De această dată a fost compromis pachetul de programe conținând driverele pentru unul din echipamente. Symantec estimează că versiunea infectată a programului a fost disponibilă pentru descărcare timp de cel puțin șase săptămâni, în iunie și iulie 2013.
Cea de-a treia firmă atacată a fost o companie europeană producătoare de sisteme care controlează turbine eoliene, centrale electrogeneratoare pe bază de biogaz și alte elemente ale infrastructurii energetice. Symantec estimează că programul compromis a fost disponibil pentru descărcare timp de aproximativ zece zile, în aprilie 2014.
Grupul Dragonfly are capacități tehnice avansate și o gândire strategică. Având în vedere dimensiunile unora dintre țintele sale, grupul a descoperit o zonă vulnerabilă prin compromiterea furnizorilor acestora – care sunt, invariabil, companii mai mici și mai slab protejate.
Protecție
Symantec a implementat următoarele sisteme de detecție, care vor proteja clienții împotriva programelor malware utilizate în aceste atacuri:
Detecții antivirus:
Amprente pentru prevenirea intrușilor
