Продължителна кампания за кибер шпионаж срещу множество цели, основно от енергийния сектор, предостави на атакуващите възможността да извършват саботажи срещу своите жертви. Атакуващите, познати на Symantec като Dragonfly (Водно конче), успяват да компрометират множество стратегически важни организации с цел шпионаж и ако бяха използвали възможностите за саботаж, които им се предоставят, можеха да успеят да нарушат или прекъснат енергийните доставки в засегнатите държави.
Сред жертвите на Dragonfly са оператори на енергийни мрежи, големи фирми за производство на електрическа енергия, оператори на петролопроводи, както и доставчици на съоръжения за енергийната индустрия. Голяма част от жертвите се намират в Съединените Щати, Испания, Франция, Италия, Германия, Турция и Полша.
Групата Dragonfly притежава добри ресурси, богата гама от зловредни инструменти и е способна да извърши атаки посредством множество различни вектори. Най-амбициозната кампания за атакуване извършена от групата е това, че успява да компрометира множество доставчици на оборудване за индустриални системи за контрол, като инфектира софтуера на компаниите чрез вид Троянски кон с дистанционен достъп. По този начин, атакуваните цели инсталират зловредния софтуер, когато свалят ъпдейти за компютрите, които управляват индустриалните системи за контрол. Тези пробиви предоставят на атакуващите не само достъп до мрежите на атакуваните организации, но и необходимите средства за извършване на операции за саботиране на инфектираните компютри на индустриалните системи за контрол.
Тази кампания следва примера на Stuxnet, която е първата мащабна зловредна кампания срещу индустриалните системи за контрол. Докато обаче Stuxnet таргетира само ядрената програма на Иран основно с цел саботаж, Dragonfly изглежда има много по-широк фокус, с основна цел шпионаж и осигуряване на постоянен достъп до системите с опция за саботаж при необходимост.
В допълнение на компрометирането на софтуера на индустриалните системи за контрол, Dragonfly използва кампании със спам имейли и атаки от вида watering hole, за да инфектира таргетираните организации. Тази група е използвала два вида основни зловредни инструмента: Backdoor.Oldrea и Trojan.Karagany. Първият изглежда е специално създаден вид зловреден софтуер, който е написан или от или за атакуващите.
Преди публикуването на този материал, Symantec е известил афектираните жертви и съответните национални власти, като Computer Emergency Response Centers (CERTs), които се занимават и отговарят за инцидентни при интернет сигурността.
Допълнителна информация
Групата Dragonfly, която също така е позната под наименованието Energetic Bear, изглежда оперира поне от 2011 година, като е възможно да е била активна и от по-рано. В началото, Dragonfly таргетира компании свързани с отбраната и авиацията в САЩ и Канада. След това, в началото на 2013 година, прехвърля фокуса си основно към енергийни компании от САЩ и Европа.
Кампанията срещу енергийния сектор на САЩ и Европа бързо се разраства. Първоначално, Групата разпраща зловреден софтуер посредством фишинг имейли към служителите на таргетираните компании. По-късно, Групата прибавя към арсенала си и watering hole атаки, компрометирайки интернет страници, които е вероятно да бъдат посетени от тези работещи в енергетиката, като след като влязат в тях ги пренасочва към интернет страници с експлойт кит. От своя страна, този експлойт кит заразява със зловреден софтуер компютъра на жертвата. Третата фаза на кампанията е Троянизиране на легитимни софтуерни пакети принадлежащи на три различни производителя на оборудване за индустриалните системи за контрол.
Dragonfly носи отличителните черти на спонсорирана от някоя държава операция, която има високо ниво на техническа експертиза. Групата може да извърши атаки посредством множество вектори и по време на този процес да компрометира множество интернет страници на трети страни. Dragonfly е таргетирала за дълъг период от време много организации от енергийния сектор. Изглежда, че основния мотив е кибер шпионажа, с потенциал за саботаж като твърда втора възможност.
Извършеният анализ на часа на създаване на зловреден софтуер използван от атакуващите индикира, че Групата оперира основно понеделник и петък, с основно концентрирана активност в периода от девет часа, които отговарят на времето на работния ден от 9 часа сутринта до 6 часа във времева зона UTC +4. На база тази информация, най-вероятно атакуващите се намират в Източна Европа.
Използвани инструменти
Dragonfly използва два основни при атаките си вида зловреден софтуер. И двата са remote access tool (RAT) вид зловреден софтуер, които осигурява на атакуващите достъп до и контрол над компрометираните компютри. Най-харесван от Dragonfly зловреден инструмент е Backdoor.Oldrea, който е също така познат като Havex или Energetic Bear RAT. Oldrea действа за атакуващите като заден вход към компютъра на жертвата. Той позволява на атакуващите да извлекат данни и да инсталират допълнителен зловреден софтуер.
Oldrea изглежда е специално създаден вид зловреден софтуер. Той или е написан от самата Група, или е създаден за нея. Това осигурява някакъв вид индикация за възможностите и ресурсите, които са зад Групата Dragonfly.
Веднъж инсталиран на компютъра на жертвата, Oldrea събира системната информация заедно със списък от файлове, инсталираните програми, и наличните устройства. Също така той събира данни от адресната книга на Outlook и от VPN конфигурационните файлове. След това тези данни се записват във временен файл в криптиран формат, преди да бъдат изпратени към дистанционен команден и контролен сървър (remote command-and-control (C&C) server) контролиран от атакуващите.
Повечето командни и контролни сървъри явно са хоствани на компрометирани сървъри, върху които работят системи за управление на съдържанието (CMS), което е индикация за това, че атакуващите може да са използвали същия експлойт, за да получат достъп до всеки сървър. Oldrea има базов контрол панел, който позволява на потребител след идентификация да свали компресирана версия на откраднатите данни за всяка отделна жертва.
Вторият използван от Dragonfly основен инструмент е Trojan.Karagany. За разлика от Oldrea, Karagany се предлага на черно. Изходният код за Версия 1 на Karagany изтича през 2010 година. Symantec вярва, че Dragonfly може да са взели този изходен код и да са го модифицирали за свое собствено ползване. Версията е прихваната от Symantec като Trojan.Karagany!gen1.
Karagany е способен да качи откраднатите данни, да свали нови файлове и да стартира изпълними файлове на инфектирания компютър. Той също така е способен да стартира допълнителни модули, като например използваните върху инфектирани компютри инструменти за събиране на пароли, правене на снимки на екрана и каталогизиране на документи.
Symantec откри, че повечето от компрометираните от страна на атакуващите компютри са инфектирани с Oldrea. Karagany е бил използван само за около 5 процента от инфектиранията. Двата вида зловреден софтуер си приличат по отношение функционалност и не се знае кое кара атакуващите да предпочетат единия инструмент пред другия.
Множество вектори за атакуване
Групата Dragonfly е използвала поне три тактики за инфектиране срещу цели в енергийния сектор. Най-ранният метод е кампания със спам имейли, предназначена за директори и старши служители в целевите компании, които получават имейли, съдържащи прикачен зловреден PDF файл. Заразените имейли имат една-две думи в заглавието си: „Сметката” или „Разрешаване на проблем с доставката”. Всички имейли пристигат от един единствен Gmail адрес.
Спам кампанията започва през февруари 2013 година и продължава до юни 2013 година, . Symantec идентифицира седем различни организации, които са били цел по време на тази кампания. Броят имейли изпратен към всяка от тях е между един и 84.
След това атакуващите преместват фокуса си върху атаки от вида watering hole, обхващащи определен брой интернет страници свързани с енергетика и инжектиращи iframe във всеки един, който пренасочва посетителите към друг компрометиран легитимен уебсайт с Lightsout експлойт кит. Lightsout използва или Java или Internet Explorer, за да свали Oldrea или Karagany на компютъра на жертвата. Фактът, че атакуващите компрометират множество легитимни инетрнет страници на всеки етап от операцията е допълнително доказателство за това че групата има силни технически възможности.
През септември 2013 година, Dragonfly започва да използва нова версия на този експлойт кит, познат като Hello експлойт кит. Въвеждащата страница съдържа JavaScript, който маркира системата, идентифицирайки инсталираните плъгини на браузъра. След това жертвата е пренасочена към URL, който на свой ред определя най-добрия експлойт, който да използва, базиран на събраната информация.
Троянизиран софтуер
Най-амбициозният използван от Dragonfly вектор за атака е компрометирането на множество легитимни софтуерни пакети. Три различни доставчици на оборудване за индустриални системи за контрол са подложени на атака и се поставя зловреден софтуер в софтуерните пакети, които са налични за сваляне на техните интернет страници. И трите компании произвеждат оборудване, което се използва в различни индустриални сектори, включително енергийния.
Първият идентифициран Троянизиран софтуер е продукт, използван за осигуряването на VPN достъп до устройства от вида programmable logic controller (PLC). Търговецът открива зловредния пробив скоро след като той е извършен, но вече са направени 250 уникални сваляния на компрометирания софтуер.
Втората компрометирана компания е Европейски производител на специализирани PLC устройства. В този случай е компрометиран софтуерен пакет, съдържащ драйвер за едно от устройствата. Symantec изчислява, че Троянизираният софтуер е бил наличен за сваляне поне за период от шест седмици през юни и юли 2013 година.
Третата атакувана е европейска компания, която разработва системи за управление на вятърни турбини, заводи за биогаз, и друга енергийна инфраструктура. Symantec вярва, че компрометирания софтуер може и да е бил наличен за сваляне за приблизително десет дена през април 2014 година.
Групата Dragonfly е добре обезпечена технически и действа стратегически. Предвид мащаба на някои от целите им, Групата успява да намери достъп до тях като компрометира техните доставчици, които неизбежно са по-малки по мащаб и по-слабо защитени компании.
Защита
Symantec предлага следните решения, които предпазват от зловредния софтуер използван при тези атаки:
Antivirus detections
• Backdoor.Oldrea
• Trojan.Karagany
• Trojan.Karagany!gen1
Intrusion Prevention Signatures
• Web Attack: Lightsout Exploit Kit
• Web Attack: Lightsout Toolkit Website 4
