Symantec a publicat astazi o avertizare privind existenta unei campanii de spionaj cibernetic indreptata impotriva companiior din sectorul energetic. Va prezentam in continuare textul integral al analizei Symantec si va recomandam sa il parcurgeti, mai ales daca activati in domeniul energetic. Trebuie spus, totusi, ca printre tintele europene ale Dragonfly nu se afla si companii din Romania.
"Symantec a descoperit o campanie de spionaj cybernetic care vizeaza tinte multiple, in principal din sectorul energetic din SUA si Europa. Specialistii Symantec investigheaza de la inceputul acestui an gruparea din spatele campaniei de spionaj, denumita Dragonfly, care a reusit sa compromita un numar de organizatii importante in scopuri de spionaj. Daca Dragonfly si-ar fi folosit capabilitatile de sabotaj, ar fi putut cauza pagube sau intreruperi ale retelelor de energie din tarile afectate.
Printre tintele grupului Dragonfly s-au numarat operatori ai retelelor de distributie energetica, mari firme generatoare de electricitate, operatori ai conductelor de petrol, precum si furnizori de echipamente industriale din domeniul energetic. Majoritatea companiilor care au fost vizate sunt localizate in Statele Unite, Spania, Franta, Italia, Germania, Turcia si Polonia.

Grupul Dragonfly are resurse vaste si dispune de o varietate de unelte malware, fiind capabil sa lanseze atacuri prin intermediul mai multor vectori. Cea mai ambitioasa campanie de atac a Dragonfly s-a soldat cu compromiterea unor furnizori de echipamente pentru sisteme de control industrial (ICS), carora le-a infectat programele software cu un virus de tip troian cu capacitate de acces de la distanta. Astfel, companiile instalau malware atunci cand descarcau actualizari software pentru computerele care controlau echipamentele ICS. Aceste infectari nu doar ca le ofera atacatorilor o cale de acces la retelele interne ale organizatiilor vizate, ci le-a permis totodata organizarea unor operatiuni de sabotaj impotriva computerelor ICS infectate.
Specialistii Symantec au observat o serie de similaritati intre Dragonfly si Stuxnet, prima campanie majora cunoscuta de atacuri malware asupra sistemelor ICS. Insa, in timp ce Stuxnet a fost concentrat exclusiv pe sabotajul programului nuclear iranian, avand sabotajul drept scop principal, Dragonfly pare sa aiba un obiectiv mult mai larg si sa aiba drept scop primar spionajul si accesul nerestrictionat, in timp ce sabotajul este o capabilitate opionala, utilizata acolo unde este necesar.

Pe langa compromiterea programelor ICS, Dragonfly a utilizat si campanii de e-mailuri spam si de atacuri de tip watering hole pentru a infecta organizatiile vizate. Grupul a folosit doua unelte malware principale: Backdoor.Oldrea si Trojan.Karagany. Prima dintre ele pare sa fie un program malware customizat, scris de catre sau la comanda atacatorilor.
Symantec a notificat victimele afectate si autoritatile nationale relevante, precum Centrele de Raspuns in caz de Urgenta Informatica (CERTs), care administreaza si reactioneaza la incidentele de securitate pe Internet.
Istoric
Grupul Dragonfly, cunoscut si sub numele de Energetic Bear (Ursul Energetic), pare sa fi devenit opera?ional cel putin din 2011 si este posibil sa fi fost activ inca dinainte. Grupul a atacat initial companii de aparare si aviatie din Statele Unite si Canada si s-a reorientat la inceputul anului 2013 spre companii din domeniul energetic din Europa si Statele Unite.
Symantec a implementat urmatoarele sisteme de detectie:
Detectii antivirus:
Backdoor.Oldrea
Trojan.Karagany



Trojan.Karagany!gen1

Amprente pentru prevenirea intrusilor
Web Attack: Lightsout Exploit Kit

Web Attack: Lightsout Toolkit Website 4