Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
01 юли
2014
 
 

Symantec: Dragonfly заплашват енергийни компании

Според Symantec групата носи отличителните черти на спонсорирана от някоя държава операция, която има високо ниво на техническа експертиза.

3116 прочитания

Стратегически важни организации са заплашени от шпионаж и саботаж от групата киберпрестъпници, наричани Dragonfly (Водно конче). Според Symantec групата компрометира доставчици на оборудване за индустриални системи за контрол, като инфектира софтуера на компаниите с вид Троянски кон с дистанционен достъп.

Dragonfly, която също така е позната под наименованието Energetic Bear, изглежда оперира поне от 2011 година, като е възможно да е била активна и от по-рано. В началото таргетира компании свързани с отбраната и авиацията в САЩ и Канада. След това, в началото на 2013 година, прехвърля фокуса си основно към енергийни компании от САЩ и Европа.

Според Symantec групата носи отличителните черти на спонсорирана от някоя държава операция, която има високо ниво на техническа експертиза. Сред жертвите на Dragonfly са оператори на енергийни мрежи, големи фирми за производство на електрическа енергия, оператори на петролопроводи, както и доставчици на съоръжения за енергийната индустрия.  Голяма част от тях се намират в Съединените Щати, Испания, Франция, Италия, Германия, Турция и Полша.

Групата притежава добри ресурси, богата гама от зловредни инструменти и е способна да извърши атаки посредством множество различни вектори, посочват още от Symantec.

От компанията правят паралел между със Stuxnet, която е първата мащабна зловредна кампания срещу индустриалните системи за контрол. Докато обаче Stuxnet таргетира само ядрената програма на Иран основно с цел саботаж, Dragonfly има много по-широк фокус, с основна цел шпионаж и осигуряване на постоянен достъп до системите с опция за саботаж при необходимост.

Инструменти

Според Symantec Dragonfly използва два основни при атаките си вида зловреден софтуер. И двата са remote access tool (RAT) вид зловреден софтуер, които осигурява на атакуващите достъп до и контрол над компрометираните компютри. Най-харесван от Dragonfly зловреден инструмент е Backdoor.Oldrea, който е също така познат като Havex или Energetic Bear RAT. Oldrea действа за атакуващите като заден вход към компютъра на жертвата. Той позволява на атакуващите да извлекат данни и да инсталират допълнителен зловреден софтуер.

От компанията изказват предположенито, че Oldrea е написан специално от самата група, или е създаден за нея.

Веднъж инсталиран на компютъра на жертвата, Oldrea събира системната информация заедно със списък  от файлове, инсталираните програми, и наличните устройства. Също така той събира данни от адресната книга на Outlook и от VPN конфигурационните файлове. След това тези данни се записват във временен файл в криптиран формат, преди да бъдат изпратени към дистанционен команден и контролен сървър (remote command-and-control (C&C) server) контролиран от атакуващите.

Вторият използван от Dragonfly основен инструмент е Trojan.Karagany. За разлика от Oldrea, Karagany се предлага на черно. Изходният код за  Версия 1 на Karagany изтича през 2010 година. В Symantec вярват, че Dragonfly може да са взели този изходен код и да са го модифицирали за свое собствено ползване. 
Karagany е способен да качи откраднатите данни, да свали нови файлове и да стартира изпълними файлове на инфектирания компютър. Той също така е способен да  стартира допълнителни модули, като например използваните върху инфектирани компютри инструменти за събиране на пароли, правене на снимки на екрана и каталогизиране на документи.

Повечето от компрометираните от страна на атакуващите компютри са инфектирани с Oldrea. Karagany е бил използван само за около 5% от инфектиранията.

Начини за инфектиране

Групата Dragonfly е използвала поне три тактики за инфектиране срещу цели в енергийния сектор. Най-ранният метод е кампания със спам имейли, предназначена за директори и старши служители в целевите компании, които получават имейли, съдържащи прикачен зловреден PDF файл. Заразените имейли имат една-две думи в заглавието си: „Сметката” или „Разрешаване на проблем с доставката”. Всички имейли пристигат от един единствен Gmail адрес.

Спам кампанията започва през февруари 2013 година и продължава до юни 2013 година, . Symantec идентифицира седем различни организации, които са били цел по време на тази кампания. Броят имейли изпратен към всяка от тях е между един и 84.

След това атакуващите преместват фокуса си върху атаки от вида watering hole, обхващащи определен брой интернет страници свързани с енергетика и инжектиращи iframe във всеки един, който пренасочва посетителите към друг компрометиран легитимен уебсайт с Lightsout експлойт кит. Lightsout използва или Java или Internet Explorer, за да свали Oldrea или Karagany на компютъра на жертвата. Фактът, че атакуващите компрометират множество легитимни инетрнет страници  на всеки етап от операцията е допълнително доказателство за това че групата има силни технически възможности, посочват от Symantec.

.През септември 2013 година, Dragonfly започва да използва нова версия на този експлойт кит, познат като Hello експлойт кит. Въвеждащата страница съдържа JavaScript, който маркира системата, идентифицирайки инсталираните плъгини на браузъра.  След това жертвата е пренасочена към URL, който на свой ред определя най-добрия експлойт, който да използва, базиран на събраната информация.

Троянизиран софтуер

Най-амбициозният използван от Dragonfly вектор за атака е компрометирането на множество легитимни софтуерни пакети. Три различни доставчици на оборудване за индустриални системи за контрол са подложени на атака и се поставя зловреден софтуер в софтуерните пакети, които са налични за сваляне на техните интернет страници. И трите компании произвеждат оборудване, което се използва в различни индустриални сектори, включително енергийния.

Според Symantec първият идентифициран Троянизиран софтуер е продукт, използван за осигуряването на VPN достъп до устройства от вида programmable logic controller (PLC). Търговецът открива зловредния пробив, но едва след като софтуерът е бил свален 250 пъти.

Втората компрометирана компания е Европейски производител на специализирани PLC устройства. В този случай е компрометиран софтуерен пакет, съдържащ драйвер за едно от устройствата. Symantec изчислява, че Троянизираният софтуер е бил наличен за сваляне поне за период от шест седмици през юни и юли 2013 година.

Третата атакувана е европейска компания, която разработва системи за управление на вятърни турбини, заводи за биогаз, и друга енергийна инфраструктура. Symantec вярва, че компрометирания софтуер може и да е бил наличен за сваляне за приблизително десет дена през април 2014 година.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
Фирмите представят

Слайдшоу
ИНТЕРВЮ
Мартин Райхле: R&M развива бизнеса си с иновативни и качествени решенияМартин Райхле: R&M развива бизнеса си с иновативни и качествени решения

2018 г. е най-добрата година за бизнеса на компанията, разработваща и произвеждаща системи с швейцарско качество вече 55 години, заяви Мартин Райхле, един от съсобствениците на Reichle& De-Massari (R&M)

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас