giovedì 3 luglio 2014

Dragonfly: le compagnie energetiche sotto la minaccia di sabotaggio


Una campagna di cyber spionaggio contro una serie di obiettivi, principalmente del settore dell’energia, ha fornito agli aggressori la capacità di lanciare operazioni di sabotaggio contro le loro vittime. Gli aggressori, noti a Symantec come Dragonfly, sono riusciti a compromettere un gran numero di aziende strategicamente importanti per finalità di spionaggio e, se avessero usato le capacità di sabotaggio a loro disposizione, avrebbero potuto portare a danni o disordine all'approvvigionamento energetico nei paesi colpiti.

Tra gli obiettivi di Dragonfly ci sono stati gli operatori di energia di rete, grandi imprese di produzione di elettricità, gestori di oleodotti di petrolio, fornitori di attrezzatura industriale dell’industria energetica. Le vittime erano localizzate negli Stati Uniti, nel Regno Unito, in Germania, Turchia, Francia, Italia e Svizzera. Gli aggressori hanno inoltre colpito in Australia e Canada.  La sua campagna di attacco più ambiziosa ha visto danneggiare una serie di fornitori di dispositivi di Sistema di Controllo Industriale (ICS), infettando il loro software con un accesso remoto di tipo Trojan. 

Questo ha causato alle aziende l’installazione del malware durante lo scaricamento degli aggiornamenti del software per i computer che eseguono dispositivi ICS. Queste infezioni non solo hanno dato agli aggressori una testa di ponte (cavallo di troia) nelle reti delle aziende selezionate, ma ha anche dato loro i mezzi per lanciare operazioni di sabotaggio contro i computer ICS infetti. Oltre a compromettere software ICS, Dragonfly ha utilizzato campagne di email di spam e attacchi watering hole per infettare aziende mirate.


Il gruppo ha utilizzato due strumenti principali di malware: Trojan.Karagany e Backdoor.Oldrea. Il secondo sembra essere una parte personalizzata di malware, scritta sia da che per gli aggressori.  Il gruppo Dragonfly, che è anche conosciuto da altri vendor come Energetic Bear, sembra essere in funzione dal 2011 ma potrebbe essere attivo da più tempo. Dragonfly ha focalizzato prima l’attenzione verso aziende della difesa e dell’aviazione negli Stati Uniti e in Canada, per poi spostarla principalmente alle aziende energetiche statunitensi ed europee nei primi mesi del 2013.


Dragonfly utilizza due pezzi principali di malware nei suoi attacchi. Entrambi sono uno Strumento di Accesso Remoto (RAT), un tipo di malware che fornisce gli attaccanti accesso e controllo dei computer compromessi. Lo strumento di malware favorito da Dragonfly è Backdoor.Oldrea, che è anche conosciuto come Havex o Energetic Bear RAT. Oldrea agisce come una backdoor per gli attaccanti al computer della vittima, permettendo loro di estrarre i dati e installare ulteriore malware. 

La campagna contro il settore energetico europeo e americano  si è estesa rapidamente. Il gruppo ha iniziato spedendo malware in email di phishing al personale delle aziende selezionate. Successivamente ha aggiunto alla sua offensiva attacchi di watering hole, compromettendo i siti web visitati da chi lavora nel settore dell’energia per reindirizzare a siti web che ospitavano un exploit kit, che a sua volta consegnava malware ai computer della vittima. Mentre ci sono parallelismi tra il malware Stuxnet e il gruppo di attacco Dragonfly,  Stuxnet è stato progettato specificamente per sabotaggio.

La terza fase della campagna era il "Trojanizing" di pacchetti software legittimi appartenenti a tre differenti produttori di dispositivi ICS. Gli aggressori che sono dietro Dragonfly mostrano un'elevata capacità tecnica, lanciando attacchi attraverso molteplici vettori e compromettendo nel processo numerosi siti web di terze parti. Dragonfly ha preso di mira più organizzazioni nel settore dell’energia per molto tempo. Il suo motivo principale sembra essere il cyber spionaggio, con un eventuale attacco di sabotaggio in seconda battuta.

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...