Napadi grupe Dragonfly na energetske kompanije u Evropi i SAD

Vesti, 03.07.2014, 09:36 AM

Symantec je upozorio na aktivnosti grupe "Dragonfly" koja je odgovorna za sajber špijunažu kompanija, uglavnom onih iz energetskog sektora, pre svih, kompanija koje proizvode električnu energiju, zatim onih koje upravljaju naftovodima, kao i kompanija koje opremom snabdevaju energetsku industriju. Žrtve se uglavnom nalaze u SAD, Španiji, Francuskoj, Italiji, Nemačkoj, Turskoj, Poljskoj, Rumuniji, Grčkoj i Srbiji.

Grupa Dragonfly koju drugi proizvođači antivirusa nazivaju i "Energetic Bear" deluje negde iz istočne Evrope, a aktivna je najmanje od 2011. godine. Prve žrtve ove grupe bile su avio kompanije i one koje posluju u sektoru odbrane, i to u SAD i Kanadi, pre nego što je grupa svoje aktivnosti usmerila protiv američkih i evropskih energetskih kompanija početkom prošle godine.

Pretpostavlja se da bi se napadači mogli nalaziti u Gruziji i Azerbejdžanu ili u Ujedinjenim Arapskim Emiratima. Na to ukazuje radno vreme napadača, koji rade od ponedeljka do petka, i po svemu sudeći imaju devetočasovno radno vreme koje odgovara vremenskoj zoni u kojoj se nalaze navedene zemlje.

Napadači govore ruski, a to dokazuje alat koji se koristi u napadima.

Dragonfly koristi dva malvera u napadima. I jedan i drugi su RAT (Remote Access Tool) alati koji omogućavaju napadačima daljinski pristup i kontrolu nad zaraženim računarima.

Omiljeni alat ove grupe je Backdoor.Oldrea, poznat i pod nazivima Havex ili Energetic Bear RAT. Oldrea omogućava napadačima da izvlače podatke sa zaraženog računara i instaliraju druge dodatne malvere. Ovi podaci se u šifrovanom obliku šalju udaljenom komandno-kontrolnom serveru (C&C server) koji kontrolišu napadači.

Malver Oldrea je ili delo autora iz grupe Dragonfly ili ga je grupa naručila za svoje potrebe, kažu u Symantecu.

Kada se instalira na računaru, Oldrea prikuplja informacije o sistemu, što uključuje i spisak fajlova i instalirane programe. Malver izvlači podatke iz Outlookovog adresara na računaru i VPN konfiguracijske fajlove.

Drugi alat koji koristi ova grupa je Trojan.Karagany, čiji se kod može naći na crnom tržištu, što nije slučaj sa Oldreom. Izvorni kod verzije 1 malvera Karagany procureo je 2010. godine, a u Symantecu veruju da je grupa Dragonfly to iskoristila, preuzela izvorni kod malvera i prilagodila ga svojim potrebama. Karagany može da otprema ukradene podatke, preuzima nove fajlove, pokreće izvršne fajlove na računaru, pokreće dodatne pluginove, kao što su alati za prikupljanje lozinki, pravljenje snimaka ekrana i popisivanje dokumenata na zaraženim računarima.

Većina računara koje su zarazili ovi napadači zaražena je malverom Oldrea. Za samo 5% infekcija odgovoran je Karagany. Dva malvera imaju slične funkcionalnosti i u ovom trenutku nije jasno zbog čega se Dragonfly češće odlučuje za malver Oldrea.

Dragonfly je do sada koristio najmanje tri taktike za infekciju računara u kompanijama koje su bile mete napada grupe. Jedna od njih je bila ciljana email kampanja, čije su mete bile izabrani direktori i rukovodioci u kompanijama, a u tim emailovima naslovljenim sa “The account” ili “Settlement of delivery problem” nalazio se maliciozni PDF fajl. Svi emailovi su poslati sa jedne Gmail adrese. Spam kampanja je započela u februaru 2013 i trajala je do juna iste godine. Symantec je identifikovao sedam kompanija koje su tada bile meta napada a broj emailova poslatih na adrese zaposlenih u svakoj od ovih kompanija kretao se od jednog do 84.

Posle toga je Dragonfly promenio taktiku i okrenuo se takozvanim "watering hole" napadima, kompromitujući web sajtove koji su povezani sa energetikom. Ubacujući iframe u sajtove, napadači su preusmeravali žrtve na jedan drugi legitiman ali kompromitovan web sajt na kome se nalazio exploit kit Lightsout, koji koristi ranjivosti u Javai ili Internet Exploreru da bi zarazio računar malverom Oldrea ili Karagany.

U septembru prošle godine, Dragonfly je počeo da koristi novu verziju Lightsouta, poznatu pod nazivom Hello, uz pomoć koga bi se identifikovao instalirani browser a zatim žrtva preusmeravala na URL gde bi na kraju bio odabran najpodesniji exploit na osnovu prikupljenih informacija.

Prvenstveni cilj grupe Dragonfly je po svemu sudeći bila krađa intelektualne svojine, ali napadači su uspeli da pristupe industrijskim kontrolnim sistemima za energetske mreže, naftovode i gasovode i imali su mogućnost da preuzmu kontrolu nad njima pa čak i da ih oštete.

U Symantecu smatraju da kampanja grupe Dragonfly ima obeležja operacija čiji su pokrovitelji države, ali iz Symanteca nisu rekli koja bi država mogla biti u pitanju.

Sve žrtve napada grupe Dragonfly su o tome obaveštene a propusti koji su doveli do infekcija su ispravljeni. Tokom istraživanja, Symantec je uspeo da pristup infrastrukturi koju koristi grupa i da identifikuje većinu kompanija koje su bile žrtve napada. Symantec nije naveo imena kompanija koje su bile žrtve napada, ali iz kompanije kažu da su među njima kompanije čija su imena veoma poznata.

Više detalja o ovome možete naći u dokumentu (pdf) koji je objavio Symantec.