|
Компанията осигуряваща интернет и информационна защита и услуги Symantec съобщава за новооткрита от специалистите в компанията шпионска кампания, която тече и в момента, насочена към компании основно в енергийния сектор.Групата, осъществяваща високопрофилните атаки, на която специалистите от Symantec са дали името Dragonfly са успели да компрометират системите на редица важни организации, като от американската компания съобщават, че това е ставало с цел шпионаж, но пробивите са били толкова успешни, че ако са имали за цел да причинят саботаж на критично важните системи с цел объркване на енергийните системи и доставки в засегнатите страни, то е можело да го направят.Сред жертвите на Dragonfly са оператори на енергийни мрежи, големи производители на ток, оператори на петролопроводи, доставчици на индустриално оборудване и др., а повечето от от тях са от страни, като САЩ, Испания, Франция, Италия, Германия, Турция, Полша, Гърция, Румъния, Сърбия и др.Групата е разполагала със сериозен набор от инструменти за атака, като една от най-добре проведените им атаки е била срещу няколко доставчици на оборудване за системи за индустриален контрол (industrial control system, ICS). Те са успели да компрометират защитата на системите им чрез троянска програма осъществяваща дистанционен контрол. Когато компаниите сваляли софтуерни обновления за продуктите осигурени им от ICS доставчика, те сваляли и малуера, чрез което системите им падали в плен на шпионите. Това не само им откривало достъп до мрежите на засегнатите компании, но и възможността да стартират и саботажни атаки към самите индустриални системи. В самата атака основните инструменти, които са използвани са две зловредни RAT (remote access tool)-програми, като първата от тях: Backdoor.Oldrea или Energetic Bear RAT е създаден от групата или специално за нея инструмент, чрез който се е осъществявал взлом в системите, кражбата на данни и изпращането им към контролиран от престъпниците сървър, а другата е заплаха известна отпреди няколко години: Trojan.Karagany (по дефиниция от антивирусните бази на Symantec), която е имала сходни функционалности с първата.Основните вектори за атака са били три. Първият е включвал изпращане на имейл от един и същи Gmail акаунт с прикачен зловреден PDF файл. Тази атака е продължила няколко месеца през миналата година. Следващият метод е бил "watering hole"-тип атаки, при които жертвата е "хващана" чрез компрометиране на интернет ресурси, които се знае, че често посещава. В случая това са били интернет ресурси свързани с енергетиката и енергоснабдяването. Тук е бил вграждан iframe, водещ към експлойт-комплекта Lightsout, експлоатиращ уязвимости в Java и IE, доставяйки споменатите по-горе малуер инструменти.В края на миналата година, Dragonfly стартират и трети тип атака, свързан с компрометирането на системите чрез друг комплект експлоатиращ уязвимости, наречен Hello. "Dragonfly е технически добре подготвена група, способна да мисли стратегически. Вземайки под внимание размера на някои от жертите им, групата е открила слабото им място чрез компрометирането на техните доставчици, които са били по-малки, по-слабо защитени компании", завършва публикацията в блога на Symantec екипа на Symantec Security Response. |
|
