A Symantec nyilvánosságra hozott egy már legalább 2011 óta működő támadási kampányt, amelyet Dragonfly-ként azonosítottak (másnéven Energetic Bear). A Symantec szerint, a Dragonfly tehető felelőssé több, az energiaszektorban működő vállalati rendszerek elleni támadásokért.
A csoport két fő eszközt használt, a Backdoor.Oldrea (Havex, Energetic Bear RAT) Remote Access Trójait (RAT) és a Trojan.Karagany-t.
Dragonfly kezdetben USA-beli és kanadai védelmi és repülési vállalatokat célozta, majd 2013 elejétől elsősorban az USA-beli és az európai energetikai cégeket támadta.
A célpontok között energiahálózat-üzemeltető, nagy villamosenergetikai, a kőolaj csővezetékeket üzemeltető, és az energiaipari vezérlőrendszer (ICS) berendezésgyártók voltak. A legtöbb áldozat USA-ban, Spanyolországban, Franciaországban, Olaszországban, Németországban, Törökországban és Lengyelországban lokalizálódott.
A Dragonfly csoport technikailag képzett, és képes a stratégiai gondolkodásra. A csoport minden esetben egy kisebb, kevésbé védett beszállító (ellátási lánc) kompromittálásával jut a célpontja közelébe.
A szakértők a fertőzés három fázisát azonosították. Az elsőben jól álcázott adathalász malware-t tartalmazó e-mailekkel árasztják el a célpontot. A másodikban elcsalogatják a levelek címzettjeit exploit-okat tartalmazó weboldalakra. A harmadikban közvetlenül az ICS- (industrial control system) rendszereket előállító céget támadják meg, hogy a malware-eket még az eladás előtt elhelyezzék a szoftverekben. Ez esetben a fertőzést maga a cég végzi el az ICS feltelepítésekor.
A támadók általában hétfőtől péntekig, a kelet-európai időzóna szerint 9:00-18:00 között időszakban tevékenykednek, amely alapján, valószínűleg a támadók székhelye Kelet-Európai.
Ez a kampány emlékeztet a Stuxnet-re, amely az első ízben célozta a nagy ICS rendszereket. Bár vannak párhuzamok Stuxnet malware és a Dragonfly a motivációi mögött, a Dragonfly jobban összpontosít a kémkedésre, míg a Stuxnet kifejezetten a szabotázsra.
A Dragonfly tagjai tulajdonképpen a Stuxnet készítői által kitaposott úton járnak, miközben egyre több káros tevékenységet hajtanak végre.
Technikai részletek:
A Remote Access Trojan (RAT) típusú malware-ek lehetővé teszik a támadók számára az áldozatokhoz való hozzáférést, irányítást, valamint további kártékony kódok bejuttatását és futtatását.
Az Oldrea trójai a csoport saját készítésű kódjának tűnik, amely jelzi a csoport mögötti erőforrásokat és kapacitásokat. Miután feltelepült egy gépre a trójai utána rendszer információkat gyűjt (fájl lista, programok, névjegyzék, VPN konfiguráció), majd a kinyert információt egy ideiglenes, titkosított fájlban tárolja, végül továbbítja az C&C szerverek felé.
A C&C szerverek többsége korábban kompromittált tartalom szolgáltató szervereket használ. Az irányító panelen keresztül a korábban összeszedett adatok tölthetőek le külön áldozatonként.
A Dragonfly másik eszköze a Trojan.Karagany, amely meglepő módon elérhető a kiberbűnözők által használt fekete piacon. Az első verzió forráskódja 2010-ben szivárgott ki. Feltehetőleg ezt a változatot szerezte meg és módosította a csoport, amelyet a Symantec Trojan.Karagany!gen1-nek nevezte el. Funkcióit tekintve képes fájl fel/letöltésre, futtatásra, újabb plugin-ek alkalmazására, mint például jelszógyűjtés, képernyőkép készítés, dokumentumok katalogizálása.
A Symantec szerint az áldozatok többsége az Oldrea által fertőződött meg. Karagany csupán 5%-át adta a fertőzéseknek. A két trójai funkciójukban teljesen hasonlóak, ezért nem tudni, mi késztette a csoportot több egyforma eszköz bevetésére.
Forrás és további információk:
_Against_Western_Energy_Suppliers.pdf
http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat