Energetiku Západu napadla Dragonfly z Východního bloku

Za nedávnou Havex infiltrací kontrolních průmyslových systémů ICS energetických firem a těžkého průmyslu stojí nejspíš skupina Dragonfly

ikona střetu black hat a white hat

Pro SOOM.cz SEO specialista a copywriter Daniel Beránek:

Malwarem Havex útočila státem sponzorovaná Dragonfly

Za napadením IT systémů energetických společností a těžkého průmyslu malwarem Havex stojí hackeři sponzorováni státem – nejspíš Ruskem či některým ze států Východní Evropy.

Výzkumníci Symantec potvrdili závěry kolegů z F-Secure a začlenili je do širšího kontextu. Šíření malwaru Havex má podle nich na svědomí skupina zvaná Dragonfly (někdy také Energetic Bear). Jde o skupinu státem sponzorovaných hackerů, pocházející nejspíše z Ruska, či některého ze států Východní Evropy. Zaměřují se na cíle v oblasti energetiky a těžkého průmyslu – typicky: producenty elektřiny, provozovatele elektrických sítí a ropovodů a dodavatele technologických celků těchto podniků.

Ve prospěch podezření Symantec argumentuje: Skupina Dragonfly má silné finanční zázemí, disponuje řadou malware nástrojů a je schopna inicializovat útok mnoha různými vektory. Nedávné napadení průmyslových kontrolních systémů komentuje: Jde o jednu z doposud nejambicióznějších útočných kampaní, která vyústila v napadení obětí, když updatovaly software pro své kontrolní systémy. Infekce nejenže vybavily agresory předmostím do sítí cílových organizací, ale také jim poskytly prostředky ke spuštění sabotáží daných kontrolních systémů.

Skupina k útoku použila především dva nástroje: Backdoor.Oldrea a Trojan.Karagany. Oldrea backdoor je také známý coby Havex. Obě větve malwaru umožňují útočníkům získat backdoor do infikovaných systémů, stáhnout a nainstalovat další malware a vyvést důvěrné informace.

Lokalizaci útočníků odvozují výzkumníci z analýzy souboru časových značek malwaru, které odpovídají pracovní době 9 – 18 h v časovém pásmu UTC +4. Symantec uzavírá: Dragonfly je technicky zdatná skupina schopná myslet strategicky. Vzhledem k velikostí obětí našla citlivé místo k útoku v jejich dodavatelských společnostech, které jsou nepoměrně menší a mnohem méně zabezpečené.

Zdroje