Războiul Rece 2.0 afectează România. Campania de spionaj cibernetic împotriva companiilor energetice

0
Publicat:
Ultima actualizare:
Campania Dragonfly a ţintit companiile din sectorul energetic FOTO Reuters
Campania Dragonfly a ţintit companiile din sectorul energetic FOTO Reuters

Symantec a descoperit o campanie de spionaj cibernetic care vizează ţinte multiple, în principal din sectorul energetic din SUA şi Europa, se arată într-un comunicat remis ”Adevărul”.

Specialiştii Symantec investighează de la începutul acestui an gruparea din spatele campaniei de spionaj, denumită Dragonfly, care a reuşit să compromită un număr de organizaţii importante în scopuri de spionaj.

Dacă Dragonfly şi-ar fi folosit capabilităţile de sabotaj, ar fi putut cauza pagube sau întreruperi ale reţelelor de energie din ţările afectate.

Printre ţintele grupului Dragonfly s-au numărat operatori ai reţelelor de distribuţie energetică, mari firme generatoare de electricitate, operatori ai conductelor de petrol, precum şi furnizori de echipamente industriale din domeniul energetic. Majoritatea companiilor care au fost vizate sunt localizate în Statele Unite, Spania, Franţa, Italia, Germania, Turcia şi Polonia, chiar şi România.

Grupul Dragonfly are resurse vaste şi dispune de o varietate de unelte malware, fiind capabil să lanseze atacuri prin intermediul mai multor vectori. Cea mai ambiţioasă campanie de atac a Dragonfly s-a soldat cu compromiterea unor furnizori de echipamente pentru sisteme de control industrial (ICS), cărora le-a infectat programele software cu un virus de tip troian cu capacitate de acces de la distanţă. Astfel, companiile instalau malware atunci când descărcau actualizări software pentru computerele care controlau echipamentele ICS. Aceste infectări nu doar că le oferă atacatorilor o cale de acces la reţelele interne ale organizaţiilor vizate, ci le-a permis totodată organizarea unor operaţiuni de sabotaj împotriva computerelor ICS infectate.

image

Specialiştii Symantec au observat o serie de similarităţi între Dragonfly şi Stuxnet, prima campanie majoră cunoscută de atacuri malware asupra sistemelor ICS. Însă, în timp ce Stuxnet a fost concentrat exclusiv pe sabotajul programului nuclear iranian, având sabotajul drept scop principal, Dragonfly pare să aibă un obiectiv mult mai larg şi să aibă drept scop primar spionajul şi accesul nerestricţionat, în timp ce sabotajul este o capabilitate opţională, utilizată acolo unde este necesar.

Pe lângă compromiterea programelor ICS, Dragonfly a utilizat şi campanii de e-mailuri spam şi de atacuri de tip watering hole pentru a infecta organizaţiile vizate. Grupul a folosit două unelte malware principale: Backdoor.Oldrea şi Trojan.Karagany. Prima dintre ele pare să fie un program malware customizat, scris de către sau la comanda atacatorilor.

De la ruşi vine troianul

Grupul Dragonfly, cunoscut şi sub numele de Energetic Bear (Ursul Energetic), este din Rusia şi pare să fi devenit operaţional cel puţin din 2011 şi este posibil să fi fost activ încă dinainte. Grupul a atacat initial companii de apărare şi aviaţie din Statele Unite şi Canada şi s-a reorientat la începutul anului 2013 spre companii din domeniul energetic din Europa şi Statele Unite.

Campania de atac asupra sectorului energetic european şi american şi-a extins rapid orizonturile. Grupul şi-a început activitatea prin trimiterea de programe malware către personalul firmelor vizate, în cadrul unor e-mailuri de tip phishing. Ulterior, grupul şi-a adăugat în arsenal atacurile de tip watering hole, compromiţând pagini web frecventate de angajaţii din domeniul energetic, cu scopul de a-i redirecţiona spre pagini web ce conţin seturi de programe de exploatare. La rândul lor, aceste seturi de exploatare instalează programe malware pe computerul ţintelor atacului. A treia etapă a campaniei a constat în infectarea cu viruşi de tip troian a unor pachete de programe software legitime aparţinând de trei producători diferiţi de echipamente ICS.

Arsenalul

Grupul Dragonfly utilizează două programe malware principale în atacurile sale. Ambele sunt malware de tip remote access tool (RAT - program pentru accesul de la distanţă), care le oferă atacatorilor acces şi control asupra computerului compromis. Dintre acestea, programul malware favorit al grupului Dragonfly este Backdoor.Oldrea, cunoscut şi sub numele de Havex sau Energetic Bear RAT (RAT-ul Ursul Energetic). Oldrea se comportă ca o uşă secundară de acces al atacatorilor la computerul victimei, permiţându-le să extragă informaţii şi să instaleze şi alte programe malware.

Odată instalat pe computerul unei victime, programul Oldrea adună informaţii despre sistem, precum şi liste de fişiere, programe instalate şi structura partiţiilor disponibile. De asemenea, programul va extrage informaţii din agenda de adrese Outlook a computerului, precum şi din fişierele ce configurează reţeaua VPN. Aceste informaţii sunt apoi scrise şi criptate într-un fişier temporar, care este apoi transmis unui server de comandă şi control (C&C) aflat în subordinea atacatorilor.

Cea de-a doua unealtă principală folosită de grupul Dragonfly este Trojan.Karagany. Spre deosebire de Oldrea, Karagany era deja disponibil pe piaţa neagră. Codul sursă pentru prima versiune a programului Karagany a fost dezvăluit în 2010. Symantec suspectează că grupul Dragonfly a modificat acest cod sursă pentru propriile scopuri. Această versiune este detectată de către Symantec ca Trojan.Karagany!gen1.

Karagany are capacitatea de a partaja informaţia furată, a descărca fişiere noi şi a rula fişiere executabile pe un computer infectat. Poate de asemenea să ruleze extensii adiţionale, precum unelte pentru colectarea parolelor sau a capturilor de ecran, şi să catalogheze documentele de pe computerele infectate.

Symantec a descoperit că majoritatea computerelor compromise erau infectate cu Oldrea, Karagany fiind utilizat doar în aproximativ 5% din infectări. Cele două programe malware au funcţii simillare şi nu este clar de ce atacatorii aleg una sau alta dintre ele.

Vectori multiplii de atac

Grupul Dragonfly a utilizat cel puţin trei tactici de infectare în atacurile sale asupra sectorului energetic. Cea mai timpurie dintre ele a fost o campanie de e-mailuri de tip spam, în cadrul căreia anumiţi factori de decizie şi angajaţi cu vechime ai companiilor vizate primeau e-mailuri cu un ataşament PDF infectat. Aceste e-mailuri aveau două posibile titluri: „Contul” sau „Rezolvarea problemei de livrare”, şi toate erau trimise de pe o singură adresă de Gmail.

Campania de spam a început în februarie 2013 şi a continuat până în iunie 2013. Symantec a identificat şapte organizaţii diferite vizate, cu un număr de e-mailuri trimise către fiecare, cuprins între 1 şi 84.

Atacatorii şi-au schimbat apoi tactica şi au demarat atacuri de tip watering hole, prin care au compromis un număr de pagini web din domeniul energetic, introducănd în cadrul fiecăreia o linie de cod ce redirecţiona vizitatorii către o altă pagină web legitimă deja compromisă, unde se afla setul de exploatare Lightsout. Acesta foloseşte vulnerabilităţi din cadrul Internet Explorer sau Java pentru a instala Oldrea sau Karagany pe computerul victimei. O dovadă în plus a capacităţilor tehnice redutabile ale grupului Dragonfly constă în faptul că atacatorii au reuşit să compromită multiple pagini web legitime pentru fiecare etapă a operaţiunii.

În septembrie 2013, grupul Dragonfly a început să folosească o nouă versiune a acestui set de exploatare, cunoscută drept setul de exploatare Hello. Pagina principală a acestui set conţine linii de cod JavaScript ce iau amprenta sistemului, identificând ce extensii sunt instalate pe browserul utilizatorului. Victima este apoi redirecţionată către un URL care la rândul său determină programul malware optim, pe baza informaţiei colectate.

Programe software infectate cu viruşi de tip troian

Cel mai ambiţios vector de atac al grupului Dragonfly a fost compromiterea unui număr de pachete software legitime. Au fost luaţi în vizor trei producători diferiţi de echipamente ICS, în pachetele de software disponibile pe paginile oficiale ale acestora fiind inserate programe malware. Toate trei companiile produceau echipamente utilizate în diverse sectoare industriale, inclusiv cel energetic.

Primul program legitim infectat cu virus troian era folosit pentru a permite accesul către reţele VPN unor dispozitive de tip programmable logic controller (PLC – dispozitiv de comandă cu programare logică). Producătorul a descoperit atacul în scurt timp, dar nu înainte ca programul compromis să fi fost descărcat de către 250 de utilizatori diferiţi.

A doua companie compromisă a fost un producător european de dispozitive PLC specializate. De această dată a fost compromis pachetul de programe conţinând driverele pentru unul din echipamente. Symantec estimează că versiunea infectată a programului a fost disponibilă pentru descărcare timp de cel puţin şase săptămâni, în iunie şi iulie 2013.

Cea de-a treia firmă atacată a fost o companie europeană producătoare de sisteme care controlează turbine eoliene, centrale electrogeneratoare pe bază de biogaz şi alte elemente ale infrastructurii energetice. Symantec estimează că programul compromis a fost disponibil pentru descărcare timp de aproximativ zece zile, în aprilie 2014.

Grupul Dragonfly are capacităţi tehnice avansate şi o gândire strategică. Având în vedere dimensiunile unora dintre ţintele sale, grupul a descoperit o zonă vulnerabilă prin compromiterea furnizorilor acestora – care sunt, invariabil, companii mai mici şi mai slab protejate. 

Tehnologie



Partenerii noștri

Ultimele știri
Cele mai citite