Napadi grupe Dragonfly na energetske kompanije u Evropi i SAD
Vesti, 03.07.2014, 09:36 AM

Symantec je upozorio na aktivnosti grupe "Dragonfly" koja je odgovorna za sajber špijunažu kompanija, uglavnom onih iz energetskog sektora, pre svih, kompanija koje proizvode električnu energiju, zatim onih koje upravljaju naftovodima, kao i kompanija koje opremom snabdevaju energetsku industriju. Žrtve se uglavnom nalaze u SAD, Španiji, Francuskoj, Italiji, Nemačkoj, Turskoj, Poljskoj, Rumuniji, Grčkoj i Srbiji.
Grupa Dragonfly koju drugi proizvođači antivirusa nazivaju i "Energetic Bear" deluje negde iz istočne Evrope, a aktivna je najmanje od 2011. godine. Prve žrtve ove grupe bile su avio kompanije i one koje posluju u sektoru odbrane, i to u SAD i Kanadi, pre nego što je grupa svoje aktivnosti usmerila protiv američkih i evropskih energetskih kompanija početkom prošle godine.
Pretpostavlja se da bi se napadači mogli nalaziti u Gruziji i Azerbejdžanu ili u Ujedinjenim Arapskim Emiratima. Na to ukazuje radno vreme napadača, koji rade od ponedeljka do petka, i po svemu sudeći imaju devetočasovno radno vreme koje odgovara vremenskoj zoni u kojoj se nalaze navedene zemlje.
Napadači govore ruski, a to dokazuje alat koji se koristi u napadima.
Dragonfly koristi dva malvera u napadima. I jedan i drugi su RAT (Remote Access Tool) alati koji omogućavaju napadačima daljinski pristup i kontrolu nad zaraženim računarima.
Omiljeni alat ove grupe je Backdoor.Oldrea, poznat i pod nazivima Havex ili Energetic Bear RAT. Oldrea omogućava napadačima da izvlače podatke sa zaraženog računara i instaliraju druge dodatne malvere. Ovi podaci se u šifrovanom obliku šalju udaljenom komandno-kontrolnom serveru (C&C server) koji kontrolišu napadači.
Malver Oldrea je ili delo autora iz grupe Dragonfly ili ga je grupa naručila za svoje potrebe, kažu u Symantecu.
Kada se instalira na računaru, Oldrea prikuplja informacije o sistemu, što uključuje i spisak fajlova i instalirane programe. Malver izvlači podatke iz Outlookovog adresara na računaru i VPN konfiguracijske fajlove.
Drugi alat koji koristi ova grupa je Trojan.Karagany, čiji se kod može naći na crnom tržištu, što nije slučaj sa Oldreom. Izvorni kod verzije 1 malvera Karagany procureo je 2010. godine, a u Symantecu veruju da je grupa Dragonfly to iskoristila, preuzela izvorni kod malvera i prilagodila ga svojim potrebama. Karagany može da otprema ukradene podatke, preuzima nove fajlove, pokreće izvršne fajlove na računaru, pokreće dodatne pluginove, kao što su alati za prikupljanje lozinki, pravljenje snimaka ekrana i popisivanje dokumenata na zaraženim računarima.
Većina računara koje su zarazili ovi napadači zaražena je malverom Oldrea. Za samo 5% infekcija odgovoran je Karagany. Dva malvera imaju slične funkcionalnosti i u ovom trenutku nije jasno zbog čega se Dragonfly češće odlučuje za malver Oldrea.
Dragonfly je do sada koristio najmanje tri taktike za infekciju računara u kompanijama koje su bile mete napada grupe. Jedna od njih je bila ciljana email kampanja, čije su mete bile izabrani direktori i rukovodioci u kompanijama, a u tim emailovima naslovljenim sa “The account” ili “Settlement of delivery problem” nalazio se maliciozni PDF fajl. Svi emailovi su poslati sa jedne Gmail adrese. Spam kampanja je započela u februaru 2013 i trajala je do juna iste godine. Symantec je identifikovao sedam kompanija koje su tada bile meta napada a broj emailova poslatih na adrese zaposlenih u svakoj od ovih kompanija kretao se od jednog do 84.
Posle toga je Dragonfly promenio taktiku i okrenuo se takozvanim "watering hole" napadima, kompromitujući web sajtove koji su povezani sa energetikom. Ubacujući iframe u sajtove, napadači su preusmeravali žrtve na jedan drugi legitiman ali kompromitovan web sajt na kome se nalazio exploit kit Lightsout, koji koristi ranjivosti u Javai ili Internet Exploreru da bi zarazio računar malverom Oldrea ili Karagany.
U septembru prošle godine, Dragonfly je počeo da koristi novu verziju Lightsouta, poznatu pod nazivom Hello, uz pomoć koga bi se identifikovao instalirani browser a zatim žrtva preusmeravala na URL gde bi na kraju bio odabran najpodesniji exploit na osnovu prikupljenih informacija.
Prvenstveni cilj grupe Dragonfly je po svemu sudeći bila krađa intelektualne svojine, ali napadači su uspeli da pristupe industrijskim kontrolnim sistemima za energetske mreže, naftovode i gasovode i imali su mogućnost da preuzmu kontrolu nad njima pa čak i da ih oštete.
U Symantecu smatraju da kampanja grupe Dragonfly ima obeležja operacija čiji su pokrovitelji države, ali iz Symanteca nisu rekli koja bi država mogla biti u pitanju.
Sve žrtve napada grupe Dragonfly su o tome obaveštene a propusti koji su doveli do infekcija su ispravljeni. Tokom istraživanja, Symantec je uspeo da pristup infrastrukturi koju koristi grupa i da identifikuje većinu kompanija koje su bile žrtve napada. Symantec nije naveo imena kompanija koje su bile žrtve napada, ali iz kompanije kažu da su među njima kompanije čija su imena veoma poznata.
Više detalja o ovome možete naći u dokumentu (pdf) koji je objavio Symantec.

Izdvojeno
Da li su vaše lozinke među najslabijim lozinkama?

Analiza više od 19 milijardi procurelih lozinki otkrila je i dalje prisutnu, široko rasprostranjenu pojavu ponovne upotrebe slabih lozinki. Lozinke,... Dalje
Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca

Istraživači kompanije Bitdefender upozorili su veoma sofisticirane prevare putem pretplata, za koje sajber kriminalci koriste „neverovatno ube... Dalje
Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke
.jpg)
Bar jedan onlajn nalog više od trećine (36%) ljudi prošle godine je hakovan zbog slabe ili ukradene lozinke, otkrilo je novo istraživanje FIDO al... Dalje
Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi
.jpg)
Sajber kriminalci su koristili najmanje 75 bezbednosnih ranjivosti za koje proizvođači softvera nisu znali - takozvane nulte ranjivosti - otkriva iz... Dalje
Microsoft glavna meta fišing napada, Mastercard se vratio na listu najčešće zloupotrebljavanih brendova

Microsoft je i dalje brend koji se najviše zloupotrebljava u fišing napadima. Ime tehnološkog giganta pojavljuje se u više od trećine (36%) svih ... Dalje
Pratite nas
Nagrade