21:12
30/6/2014

Dragonfly to nazwa grupy, która trojanami infekuje komputery należące do firm z sektora energetycznego w USA i co najmniej 6 europejskich krajach, także w Polsce. I jeśli spodziewacie się, że jak za większością publicznie ujawnionych tego typu ataków stoją Chińczycy, to tym razem się rozczarujecie. Wszystko wskazuje na najprawdopodobniej… Rosjan.

Rozkład zainfekowanych przez Dragonfly krajów

Rozkład maszyn zainfekowanych przez Dragonfly w rozbiciu na kraje.

Jak następuje infekcja?

Trojan (Havex) jest podrzucany metodą wodopoju (ang. watering hole). Atakujący włamują się na strony zazwyczaj niewielkich firm-producentów oprogramowania wspierającego systemy ICS wykorzystywane do zarządzania sieciami w większych firmach energetycznych. Następnie podmieniają oryginalne oprogramowanie (np. sterownik) na “zainfekowaną” wersję …i czekają, aż ofiara sama go ściągnie.

Co ciekawe, producenci oprogramowania i sterowników do obsługi PLC nie zawsze szybko orientują się, że padli ofiarą ataków. Jeden z nich przez 6 tygodni udostępniał zainfekowane oprogramowanie na swojej stronie.

Kiedy ofiara połknie przynęte, trojan jest zainteresowany przede wszystkim:

  • książką kontaktów z Outlooka
  • danymi dostępowymi do VPN

Oprócz podmiany programów na zainfekowane, Dragonfly wykorzystuje także exploit kity, które mają atakować przeglądarkę ofiary. Dodatkowo, do wyselekcjonowanych wysokich rangą pracowników celu wysyłane są e-maile z zainfekowanymi załącznikami.

Kto stoi za atakami?

Badacze z Symantec porównują kampanie Dragonfly ze Stuxnetem, podkreślając, że o ile Stuxnet był skierowany w jeden cel, Dragonfly atakuje “co popadnie”. Kampania zaczęła się w 2011 roku — wtedy na celowniku były głównie USA i Kanada, ale stopniowo atakujący włamywali się także do infrastruktury innych krajów.

Ślady pozostawione w kodzie trojana i aktywność włamywaczy wskazuje na to, że za Dragonfly stoi grupa wspierana przez rząd, najprawdopodobniej któregoś ze wschodnioeuropejskich krajów. Wnioski te zostały wyciągnięte z regularnego czasu pracy atakujących — pracują po 9 godzin od poniedziałku do piątku, i jeśli założyć, że startują o 9:00 rano, to ich strefą czasową jest UTC+4. Zgadnijcie jaki kraj z niej korzysta?

Więcej szczegółów na temat operacji Dragonfly w dokumencie Symanteca.

Przeczytaj także:

10 komentarzy

Dodaj komentarz
  1. Ej, nie fair! Moja była firma się tak nazywała…

  2. Dlaczego sugerowana jest godzina 9:00? Czy to w anglojęzycznych krajach nie zaczyna się tak pracy? U nas, a więc sądzę, że i w Europie/Europie Wschodniej, rozpoczęcie pracy to często 8:00 lub 7:00.

    • Kto zaczyna pracę biurową o 7 rano?

    • O 7 zaczynają ci od kadr i płac ;)

    • Ja zaczynam o 7. Z wyboru, bo mam luźne godziny pracy. Muszę przepracować 8 godzin, nieważne od której do której.

    • W IT raczej 9:00. :P

    • W IT o 9:00, jak się dobudzisz. Znajomy admin, jak się z nim umawiałem we firmie na analizę czegoś-tam-tratatata to koło 11 odbierał telefon, że już jedzie i następnie przed 12-tą wpadał z zaspanymi oczkami. Sekretarka na to – Robert sobie za wysoko postawił poprzeczkę.

  3. UTC+4 to również Seszele, a nie ma lepszego miejsca na hakowanie z leżaka :D

  4. Rosja to jednak ma pecha – posiada najwięcej stref czasowych :D

  5. Taaa, a potem ciule siedzicie do 17 LOL
    Ja gdy mogę idę na 7. Omijam korki, a o 15 wolne :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.