Pribúdajú útoky proti energetickému sektoru. Pravdepodobne súvisia s návratom hackerskej skupiny Dragonfly.
Spoločnosť Symantec zachytila znepokojivý nárast počtu útokov proti kľúčovej energetickej infraštruktúre. Najnovšia vlna by mohla útočníkom umožniť vážne narušiť funkčnosť postihnutých zariadení.
Hackerský gang Dragonfly je podľa dostupných informácií aktívny od roku 2011, keď zaútočil na bezpečnostné a letecké spoločnosti v USA a Kanade. Zdá sa, že svoj záujem obrátil na energetickú infraštruktúru až v roku 2013, keď sa jeho cieľmi stali energetické spoločnosti v Spojených štátoch a Európe.
V roku 2014 sa gang zameral na operátorov rozvodných sietí, popredné spoločnosti zaoberajúce sa výrobou elektrickej energie, ropovody a dodávateľov vybavenia pre energetický priemysel. Väčšina obetí bola zo Spojených štátov, z Španielska, Francúzka, Talianska, Nemecka, Turecka a Poľska.
Americkej spoločnosti Symantec sa teraz podarilo túto skupinu opäť vystopovať. Jej najnovšiu kampaň pomenovala Dragonfly 2.0. Začala sa už v decembri 2015, ale za uplynulý rok sa výrazne zintenzívnila.
Útoky sa odohrávajú prevažne v USA, Turecku a vo Švajčiarsku. Cieľom sú však aj iné krajiny.
Ako v minulosti, tak aj teraz sa útočníci používajú útočníci rad nástrojov. Začali s cielenými phisingovými útokmi. Citlivé údaje zhromažďovali aj pomocou techniky watering hole. Pri nej hackeri neútočia priamo, ale nakazia stránky, ktoré často navštevujú ich obete.
Keď obeť navštívila niektorý z nakazených serverov, bol na jej počítač nainštalovaný trojan Backdoor.Goodor. Vďaka nemu útočníci následne získali prístup do vyhliadnutého počítača.
Časť použitých trojanov sa maskovala za flashové aktualizácie. Pravdepodobne s pomocou sociálneho inžinierstva presvedčili obeť o potrebe aktualizovať softvér, ktorá si spolu s aktualizáciou nainštalovala aj škodlivý malvér.
Medzi odborníkmi panuje zhoda, že ide o sofistikovanú skupinu pokročilých hackerov. Práve vďaka tomu dokázali v uplynulých rokoch vykonať sériu koncentrovaných útokov na energetický sektor. Navzdory tomu ich pôvod zostáva nejasný. Skupina šikovne zakrýva stopy. Symantec vymenoval niekoľko príkladov:
- Útočníci využívali najmä všeobecne dostupné malvéry a nástroje.
- Nevyužili žiadne zero-day exploity (chyby v kóde, ktoré sa odhalia po prvom zneužití).
- Niektoré riadky kódu boli v ruštine, niektoré vo francúzštine.
Kým Symantec si netrúfol označiť pôvod Dragonfly, ministerstvo vnútornej bezpečnosti Spojených štátov vo svojej správe (JAR) z roku 2016 pripisuje skupine napojenie na Rusko.
Z minulosti vieme, že takýto útok sa začína zbieraním informácií. V tejto fáze útočníci nazhromaždia informácie o fungovaní a stave siete a systémov ich obete. Potom ich spoločne s ukoristenými materiálmi využijú pri útoku. Dobrým príkladom takéhoto postupu je prípad Stuxnet.
Na základe toho môžeme predpokladať, že pôvodná kampaň Dragonfly predstavovala len fázu zbierania informácií a s príchodom Dragonfly 2.0 pomaly prechádzajú do ďalšej fázy.
(PP)