Technology >> Securitate >> Stiri si comunicate

Symantec descopera Dragonfly, o campanie de spionaj cybernetic impotriva companiilor din sectorul energetic

Luiza Sandu

01 Iulie 2014

Grupul Dragonfly a utilizat cel putin trei tactici de infectare in atacurile sale asupra sectorului energetic. Cea mai timpurie dintre ele a fost o campanie de e-mailuri de tip spam, in cadrul careia anumiti factori de decizie si angajati cu vechime ai companiilor vizate primeau e-mailuri cu un atasament PDF infectat. Aceste e-mailuri aveau doua posibile titluri: „Contul” sau „Rezolvarea problemei de livrare”, si toate erau trimise de pe o singura adresa de Gmail.

Campania de spam a inceput in februarie 2013 si a continuat pana in iunie 2013. Symantec a identificat sapte organizatii diferite vizate, cu un numar de e-mailuri trimise catre fiecare, cuprins intre 1 si 84. Atacatorii si-au schimbat apoi tactica si au demarat atacuri de tip watering hole, prin care au compromis un numar de pagini web din domeniul energetic, introducand in cadrul fiecareia o linie de cod ce redirectiona vizitatorii catre o alta pagina web legitima deja compromisa, unde se afla setul de exploatare Lightsout. Acesta foloseste vulnerabilitati din cadrul Internet Explorer sau Java pentru a instala Oldrea sau Karagany pe computerul victimei. O dovada in plus a capacitatilor tehnice redutabile ale grupului Dragonfly consta in faptul ca atacatorii au reusit sa compromita multiple pagini web legitime pentru fiecare etapa a operatiunii.

In septembrie 2013, grupul Dragonfly a inceput sa foloseasca o noua versiune a acestui set de exploatare, cunoscuta drept setul de exploatare Hello. Pagina principala a acestui set contine linii de cod JavaScript ce iau amprenta sistemului, identificand ce extensii sunt instalate pe browserul utilizatorului. Victima este apoi redirectionata catre un URL care la randul sau determina programul malware optim, pe baza informatiei colectate.

Cel mai ambitios vector de atac al grupului Dragonfly a fost compromiterea unui numar de pachete software legitime. Au fost luati in vizor trei producatori diferiti de echipamente ICS, in pachetele de software disponibile pe paginile oficiale ale acestora fiind inserate programe malware. Toate trei companiile produceau echipamente utilizate in diverse sectoare industriale, inclusiv cel energetic.

Primul program legitim infectat cu virus troian era folosit pentru a permite accesul catre retele VPN unor dispozitive de tip programmable logic controller (PLC – dispozitiv de comanda cu programare logica). Producatorul a descoperit atacul in scurt timp, dar nu inainte ca programul compromis sa fi fost descarcat de catre 250 de utilizatori diferiti.

A doua companie compromisa a fost un producator european de dispozitive PLC specializate. De aceasta data a fost compromis pachetul de programe continand driverele pentru unul din echipamente. Symantec estimeaza ca versiunea infectata a programului a fost disponibila pentru descarcare timp de cel putin sase saptamani, in iunie si iulie 2013.

Cea de-a treia firma atacata a fost o companie europeana producatoare de sisteme care controleaza turbine eoliene, centrale electrogeneratoare pe baza de biogaz si alte elemente ale infrastructurii energetice. Symantec estimeaza ca programul compromis a fost disponibil pentru descarcare timp de aproximativ zece zile, in aprilie 2014.

Grupul Dragonfly are capacitati tehnice avansate si o gandire strategica. Avand in vedere dimensiunile unora dintre tintele sale, grupul a descoperit o zona vulnerabila prin compromiterea furnizorilor acestora – care sunt, invariabil, companii mai mici si mai slab protejate.