Internet

Dragonfly: energetske kompanije u opasnosti od cyber sabotaže

Trenutna kampanja sajber-špijunaže protiv više ciljeva, uglavnom uperena na energetski sektor, omogućila je napadačima mogućnost da izvedu operacije sabotaže protiv ciljanih žrtava. Napadači poznati kompaniji Symantec kao Dragonfly (Vilin konjic), su uspeli da ugroze brojne strateški važne organizacije u svrhu špijunaže i uspeli su da iskoriste mogućnosti sabotaže koje su im dostupne. Kao rezultat ovih aktivnosti, mogli su da prouzrokuju štetu ili prekid u snabdevanju energijom u pogođenim zemljama.

Među metama grupe Dragonfly su bili operatori na električnoj mreži, velike firme za proizvodnju električne energije, operatori naftovoda i dobavljači energetske industrijske opreme. Većina kompanija žrtava se nalazi u Sjedinjenim Državama, Španiji, Francuskoj, Italiji, Nemačkoj, Turskoj i Poljskoj.

symantec

Ova grupa je dobro opremljena, sa velikim izborom zlonamernih alata na raspolaganju, i sa mogućnošću pokretanja napada iz više različitih pravaca. Njihovom najambicioznijom kampanjom su ugroženi brojni dobavljači opreme za sisteme industrijske kontrole, čiji je softver zaražen „trojancem“ koji omogućava pristup sa daljine. Ovo je prouzrokovalo da ove kompanije nesvesno instaliraju zlonamerni softver prilikom redovnog ažuriranja programa na računarima sa ovom opremom. Ove infekcije nisu samo omogućile uporište napadačima u mrežama ciljanih organizacija, već su im omogućile i mogućnost sabotaže na zaraženim računarima.

Ova kampanja prati korake Stuxnet-a, poznatijeg kao prve velike poznate kampanje koja je imala za cilj sisteme industrijske kontrole. Dok je Stuxnet uzano ciljao iranski nuklearni program i imao sabotažu kao primarni cilj, Dragonfly izgleda ima mnogo širi fokus u mogućoj opciji špijunaže, za koji mu je neophodan konstatntan pristup zbog trenutnog cilja moguće sabotaže.

Kao dodatak ugrožavanju softvera sistema industrijske kontrole, Dragonfly je koristio kampanje sa neželjenom poštom i napade poznate pod imenom „zalivanje rupe“ kako bi zarazili ciljane organizacije. Grupa je koristila dva glavna zlonamerna alata: Backdoor.Oldrea i Trojan.Karagany. Prvi alat izgleda kao prilagođeni deo zlonamernog softvera, koji su napisali napadači ili je za njih pisan.

dragonfly_concept

Pre objavljivanja, Symantec je obavestio žrtve pogođene ovim problemom i relevantne nacionalne vlasti, kao što su Centri za hitne računarske intervencije (Computer Emergency Response Centers (CERTs)) koji se bave i reaguju povodom incidenata na polju bezbednosti na internetu.

Pozadina

Dragonfly grupa, koju dobavljači znaju kao Energetic Bear („Energični medved“), je aktivna od 2011, a moguće je i duže. Dragonfly je u početku za cilj imao kompanije iz SAD i Kanade koje se bave odbranom i avijacijom, pre nego što su početkom 2013. svoj fokus preusmerili uglavnom na energetske firme iz SAD i Evrope.

Kampanja protiv energetskog sektora u Evropi i Americi se brzo raširila u svom obimu. Grupa je na početku počela sa slanjem zlonamernog softvera u elektronskoj pošti osoblju ciljanih firmi. Kasnije je grupa svojoj ofanzivi dodala napade „zalivanje rupe“, ugrožavajući internet sajtove koje bi najverovatnije trebalo da posete oni koji rade u ovoj grani industrije, kako bi ih preusmerili na sajtove koji imaju ovaj zlonamerni alat. Ovaj alat je zauzvrat isporučivao zlonamerni softver računarima žrtava. Treća faza kampanje je bila „trojanizacija“ legitimnog pratećeg softvera koji pripada trima različitim proizvođačima opreme sistema industrijske kontrole.

Dragonfly ima elemente koji bi ga označili kao državno sponzorisanu operaciju, uz pokazan visok nivo tehničke umešnosti. Grupa je sposobna da sprovede napade iz više pravaca i da ugrozi veliki broj internet sajtova trećih strana u ovom procesu. Dragonfly je imao za cilj više organizacija u energetskom sektoru tokom dužeg vremenskog perioda. Njihov glavni motiv je izgleda sajberšpijunaža, sa mogućnošću sabotaže kao konačne sekundarne mogućnosti.

Analiza kompilacije vremenskih oznaka zlonamernog softvera koje su koristili napadači, pokazuje da je grupa najčešće radila na njemu od ponedeljka do petka, sa aktivnostima uglavnom koncentrisanim na period od devet sati koji odgovara radnom danu od 09:00 do 18:00 u vremenskoj zoni UTC +4. U skladu sa ovim informacijama, najverovatnije je da su napadači smešteni u istočnoj Evropi.

Leave a Reply