Technology >> Securitate >> Stiri si comunicate

Symantec descopera Dragonfly, o campanie de spionaj cybernetic impotriva companiilor din sectorul energetic

Luiza Sandu

01 Iulie 2014

Symantec a descoperit o campanie de spionaj cybernetic care vizeaza tinte multiple, in principal din sectorul energetic din SUA si Europa. Specialistii Symantec investigheaza de la inceputul acestui an gruparea din spatele campaniei de spionaj, denumita Dragonfly, care a reusit sa compromita un numar de organizatii importante in scopuri de spionaj. Daca Dragonfly si-ar fi folosit capabilitatile de sabotaj, ar fi putut cauza pagube sau intreruperi ale retelelor de energie din tarile afectate.

Printre tintele grupului Dragonfly s-au numarat operatori ai retelelor de distributie energetica, mari firme generatoare de electricitate, operatori ai conductelor de petrol, precum si furnizori de echipamente industriale din domeniul energetic. Majoritatea companiilor care au fost vizate sunt localizate in Statele Unite, Spania, Franta, Italia, Germania, Turcia si Polonia.

Grupul Dragonfly are resurse vaste si dispune de o varietate de unelte malware, fiind capabil sa lanseze atacuri prin intermediul mai multor vectori. Cea mai ambitioasa campanie de atac a Dragonfly s-a soldat cu compromiterea unor furnizori de echipamente pentru sisteme de control industrial (ICS), carora le-a infectat programele software cu un virus de tip troian cu capacitate de acces de la distanta. Astfel, companiile instalau malware atunci cand descarcau actualizari software pentru computerele care controlau echipamentele ICS. Aceste infectari nu doar ca le ofera atacatorilor o cale de acces la retelele interne ale organizatiilor vizate, ci le-a permis totodata organizarea unor operatiuni de sabotaj impotriva computerelor ICS infectate.

Specialistii Symantec au observat o serie de similaritati intre Dragonfly si Stuxnet, prima campanie majora cunoscuta de atacuri malware asupra sistemelor ICS. Insa, in timp ce Stuxnet a fost concentrat exclusiv pe sabotajul programului nuclear iranian, avand sabotajul drept scop principal, Dragonfly pare sa aiba un obiectiv mult mai larg si sa aiba drept scop primar spionajul si accesul nerestrictionat, in timp ce sabotajul este o capabilitate optionala, utilizata acolo unde este necesar.

Pe langa compromiterea programelor ICS, Dragonfly a utilizat si campanii de e-mailuri spam si de atacuri de tip watering hole pentru a infecta organizatiile vizate. Grupul a folosit doua unelte malware principale: Backdoor.Oldrea si Trojan.Karagany. Prima dintre ele pare sa fie un program malware customizat, scris de catre sau la comanda atacatorilor.

Symantec a notificat victimele afectate si autoritatile nationale relevante, precum Centrele de Raspuns in caz de Urgenta Informatica (CERTs), care administreaza si reactioneaza la incidentele de securitate pe Internet. Grupul Dragonfly, cunoscut si sub numele de Energetic Bear (Ursul Energetic), pare sa fi devenit operational cel putin din 2011 si este posibil sa fi fost activ inca dinainte. Grupul a atacat initial companii de aparare si aviatie din Statele Unite si Canada si s-a reorientat la inceputul anului 2013 spre companii din domeniul energetic din Europa si Statele Unite.

Campania de atac asupra sectorului energetic european si american si-a extins rapid orizonturile. Grupul si-a inceput activitatea prin trimiterea de programe malware catre personalul firmelor vizate, in cadrul unor e-mailuri de tip phishing. Ulterior, grupul si-a adaugat in arsenal atacurile de tip watering hole, compromitand pagini web frecventate de angajatii din domeniul energetic, cu scopul de a-i redirectiona spre pagini web ce contin seturi de programe de exploatare. La randul lor, aceste seturi de exploatare instaleaza programe malware pe computerul tintelor atacului. A treia etapa a campaniei a constat in infectarea cu virusi de tip troian a unor pachete de programe software legitime apartinand de trei producatori diferiti de echipamente ICS.

Grupul Dragonfly utilizeaza doua programe malware principale in atacurile sale. Ambele sunt malware de tip remote access tool (RAT - program pentru accesul de la distanta), care le ofera atacatorilor acces si control asupra computerului compromis. Dintre acestea, programul malware favorit al grupului Dragonfly este Backdoor.Oldrea, cunoscut si sub numele de Havex sau Energetic Bear RAT (RAT-ul Ursul Energetic). Oldrea se comporta ca o usa secundara de acces al atacatorilor la computerul victimei, permitandu-le sa extraga informatii si sa instaleze si alte programe malware.

Odata instalat pe computerul unei victime, programul Oldrea aduna informatii despre sistem, precum si liste de fisiere, programe instalate si structura partitiilor disponibile. De asemenea, programul va extrage informatii din agenda de adrese Outlook a computerului, precum si din fisierele ce configureaza reteaua VPN. Aceste informatii sunt apoi scrise si criptate intr-un fisier temporar, care este apoi transmis unui server de comanda si control (C&C) aflat in subordinea atacatorilor.

Cea de-a doua unealta principala folosita de grupul Dragonfly este Trojan.Karagany. Spre deosebire de Oldrea, Karagany era deja disponibil pe piata neagra. Codul sursa pentru prima versiune a programului Karagany a fost dezvaluit in 2010. Symantec suspecteaza ca grupul Dragonfly a modificat acest cod sursa pentru propriile scopuri.
Symantec a descoperit ca majoritatea computerelor compromise erau infectate cu Oldrea, Karagany fiind utilizat doar in aproximativ 5% din infectari. Cele doua programe malware au functii simillare si nu este clar de ce atacatorii aleg una sau alta dintre ele.