Symantec a descoperit o campanie de spionaj cibernetic care vizeaza tinte multiple, in principal din sectorul energetic din SUA si Europa. Specialistii Symantec investigheaza de la inceputul acestui an gruparea din spatele campaniei de spionaj, denumita Dragonfly, care a reusit sa compromita un numar de organizatii importante in scopuri de spionaj. Daca Dragonfly si-ar fi folosit capabilitatile de sabotaj, ar fi putut cauza pagube sau intreruperi ale retelelor de energie din tarile afectate, sustine compania.

Printre tintele grupului Dragonfly s-au numarat operatori ai retelelor de distributie energetica, mari firme generatoare de electricitate, operatori ai conductelor de petrol, precum si furnizori de echipamente industriale din domeniul energetic. Majoritatea companiilor care au fost vizate sunt localizate in Statele Unite, Spania, Franta, Italia, Germania, Turcia si Polonia.

Grupul Dragonfly are resurse vaste si dispune de o varietate de unelte malware, fiind capabil sa lanseze atacuri prin intermediul mai multor vectori. Cea mai ambitioasa campanie de atac a Dragonfly s-a soldat cu compromiterea unor furnizori de echipamente pentru sisteme de control industrial (ICS), carora le-a infectat programele software cu un virus de tip troian cu capacitate de acces de la distanta.

Astfel, companiile instalau malware atunci cand descarcau actualizari software pentru computerele care controlau echipamentele ICS. Aceste infectari nu doar ca le ofera atacatorilor o cale de acces la retelele interne ale organizatiilor vizate, ci le-a permis totodata organizarea unor operatiuni de sabotaj impotriva computerelor ICS infectate.

Specialistii Symantec au observat o serie de similaritati intre Dragonfly si Stuxnet, prima campanie majora cunoscuta de atacuri malware asupra sistemelor ICS. Insa, in timp ce Stuxnet a fost concentrat exclusiv pe sabotajul programului nuclear iranian, avand sabotajul drept scop principal, Dragonfly pare sa aiba un obiectiv mult mai larg si sa aiba drept scop primar spionajul si accesul nerestrictionat, in timp ce sabotajul este o capabilitate optionala, utilizata acolo unde este necesar.

Pe langa compromiterea programelor ICS, Dragonfly a utilizat si campanii de e-mailuri spam si de atacuri de tip watering hole pentru a infecta organizatiile vizate. Grupul a folosit doua unelte malware principale: Backdoor.Oldrea si Trojan.Karagany. Prima dintre ele pare sa fie un program malware customizat, scris de catre sau la comanda atacatorilor.

Symantec a notificat victimele afectate si autoritatile nationale relevante, precum Centrele de Raspuns in caz de Urgenta Informatica (CERTs), care administreaza si reactioneaza la incidentele de securitate pe Internet.

Istoric

Grupul Dragonfly, cunoscut si sub numele de Energetic Bear (Ursul Energetic), pare sa fi devenit operational cel putin din 2011 si este posibil sa fi fost activ inca dinainte. Grupul a atacat initial companii de aparare si aviatie din Statele Unite si Canada si s-a reorientat la inceputul anului 2013 spre companii din domeniul energetic din Europa si Statele Unite.

Campania de atac asupra sectorului energetic european si american si-a extins rapid orizonturile. Grupul si-a inceput activitatea prin trimiterea de programe malware catre personalul firmelor vizate, in cadrul unor e-mailuri de tip phishing. Ulterior, grupul si-a adaugat in arsenal atacurile de tip watering hole, compromitand pagini web frecventate de angajatii din domeniul energetic, cu scopul de a-i redirectiona spre pagini web ce contin seturi de programe de exploatare. La randul lor, aceste seturi de exploatare instaleaza programe malware pe computerul tintelor atacului. A treia etapa a campaniei a constat in infectarea cu virusi de tip troian a unor pachete de programe software legitime apartinand de trei producatori diferiti de echipamente ICS.

Unelte folosite

Grupul Dragonfly utilizeaza doua programe malware principale in atacurile sale. Ambele sunt malware de tip remote access tool (RAT - program pentru accesul de la distanta), care le ofera atacatorilor acces si control asupra computerului compromis. Dintre acestea, programul malware favorit al grupului Dragonfly este Backdoor.Oldrea, cunoscut si sub numele de Havex sau Energetic Bear RAT (RAT-ul Ursul Energetic). Oldrea se comporta ca o usa secundara de acces al atacatorilor la computerul victimei, permitandu-le sa extraga informatii si sa instaleze si alte programe malware.

Odata instalat pe computerul unei victime, programul Oldrea aduna informatii despre sistem, precum si liste de fisiere, programe instalate si structura partitiilor disponibile. De asemenea, programul va extrage informatii din agenda de adrese Outlook a computerului, precum si din fisierele ce configureaza reteaua VPN. Aceste informatii sunt apoi scrise si criptate intr-un fisier temporar, care este apoi transmis unui server de comanda si control (C&C) aflat in subordinea atacatorilor.

Cea de-a doua unealta principala folosita de grupul Dragonfly este Trojan.Karagany. Spre deosebire de Oldrea, Karagany era deja disponibil pe piata neagra. Codul sursa pentru prima versiune a programului Karagany a fost dezvaluit in 2010. Symantec suspecteaza ca grupul Dragonfly a modificat acest cod sursa pentru propriile scopuri. Aceasta versiune este detectata de catre Symantec ca Trojan.Karagany!gen1.

Karagany are capacitatea de a partaja informatia furata, a descarca fisiere noi si a rula fisiere executabile pe un computer infectat. Poate de asemenea sa ruleze extensii aditionale, precum unelte pentru colectarea parolelor sau a capturilor de ecran, si sa catalogheze documentele de pe computerele infectate.

Symantec a descoperit ca majoritatea computerelor compromise erau infectate cu Oldrea, Karagany fiind utilizat doar in aproximativ 5% din infectari. Cele doua programe malware au functii simillare si nu este clar de ce atacatorii aleg una sau alta dintre ele.

Vectori multiplii de atac

Grupul Dragonfly a utilizat cel putin trei tactici de infectare in atacurile sale asupra sectorului energetic. Cea mai timpurie dintre ele a fost o campanie de e-mailuri de tip spam, in cadrul careia anumiti factori de decizie si angajati cu vechime ai companiilor vizate primeau e-mailuri cu un atasament PDF infectat. Aceste e-mailuri aveau doua posibile titluri: "Contul" sau "Rezolvarea problemei de livrare", si toate erau trimise de pe o singura adresa de Gmail.

Campania de spam a inceput in februarie 2013 si a continuat pana in iunie 2013. Symantec a identificat sapte organizatii diferite vizate, cu un numar de e-mailuri trimise catre fiecare, cuprins intre 1 si 84.

Atacatorii si-au schimbat apoi tactica si au demarat atacuri de tip watering hole, prin care au compromis un numar de pagini web din domeniul energetic, introducand in cadrul fiecareia o linie de cod ce redirectiona vizitatorii catre o alta pagina web legitima deja compromisa, unde se afla setul de exploatare Lightsout. Acesta foloseste vulnerabilitati din cadrul Internet Explorer sau Java pentru a instala Oldrea sau Karagany pe computerul victimei. O dovada in plus a capacitatilor tehnice redutabile ale grupului Dragonfly consta in faptul ca atacatorii au reusit sa compromita multiple pagini web legitime pentru fiecare etapa a operatiunii.

In septembrie 2013, grupul Dragonfly a inceput sa foloseasca o noua versiune a acestui set de exploatare, cunoscuta drept setul de exploatare Hello. Pagina principala a acestui set contine linii de cod JavaScript ce iau amprenta sistemului, identificand ce extensii sunt instalate pe browserul utilizatorului. Victima este apoi redirectionata catre un URL care la randul sau determina programul malware optim, pe baza informatiei colectate.

Programe software infectate cu virusi de tip troian

Cel mai ambitios vector de atac al grupului Dragonfly a fost compromiterea unui numar de pachete software legitime. Au fost luati in vizor trei producatori diferiti de echipamente ICS, in pachetele de software disponibile pe paginile oficiale ale acestora fiind inserate programe malware. Toate trei companiile produceau echipamente utilizate in diverse sectoare industriale, inclusiv cel energetic.

Primul program legitim infectat cu virus troian era folosit pentru a permite accesul catre retele VPN unor dispozitive de tip programmable logic controller (PLC - dispozitiv de comanda cu programare logica). Producatorul a descoperit atacul in scurt timp, dar nu inainte ca programul compromis sa fi fost descarcat de catre 250 de utilizatori diferiti.

A doua companie compromisa a fost un producator european de dispozitive PLC specializate. De aceasta data a fost compromis pachetul de programe continand driverele pentru unul din echipamente. Symantec estimeaza ca versiunea infectata a programului a fost disponibila pentru descarcare timp de cel putin sase saptamani, in iunie si iulie 2013.

Cea de-a treia firma atacata a fost o companie europeana producatoare de sisteme care controleaza turbine eoliene, centrale electrogeneratoare pe baza de biogaz si alte elemente ale infrastructurii energetice. Symantec estimeaza ca programul compromis a fost disponibil pentru descarcare timp de aproximativ zece zile, in aprilie 2014.

Grupul Dragonfly are capacitati tehnice avansate si o gandire strategica. Avand in vedere dimensiunile unora dintre tintele sale, grupul a descoperit o zona vulnerabila prin compromiterea furnizorilor acestora - care sunt, invariabil, companii mai mici si mai slab protejate.