loading...
Sponser
0 2

Dragonfly: energetske kompanije u opasnosti od sabotaže

energetska_mreza Ova grupa je dobro opremljena, sa velikim izborom zlonamernih alata na raspolaganju, i sa mogućnošću pokretanja napada iz više različitih pravaca. Njihovom najambicioznijom kampanjom su ugroženi brojni dobavljači opreme za sisteme industrijske kontrole, čiji je softver zaražen „trojancem“ koji omogućava pristup sa daljine. Ovo je prouzrokovalo da ove kompanije nesvesno instaliraju zlonamerni softver prilikom redovnog ažuriranja programa na računarima sa ovom opremom. Ove infekcije nisu samo omogućile uporište napadačima u mrežama ciljanih organizacija, već su im omogućile i mogućnost sabotaže na zaraženim računarima. Ova kampanja prati korake Stuxnet-a, poznatijeg kao prve velike poznate kampanje koja je imala za cilj sisteme industrijske kontrole. Dok je Stuxnet uzano ciljao iranski nuklearni program i imao sabotažu kao primarni cilj, Dragonfly izgleda ima mnogo širi fokus u mogućoj opciji špijunaže, za koji mu je neophodan konstatntan pristup zbog trenutnog cilja moguće sabotaže. Kao dodatak ugrožavanju softvera sistema industrijske kontrole, Dragonfly je koristio kampanje sa neželjenom poštom i napade poznate pod imenom „zalivanje rupe“ kako bi zarazili ciljane organizacije. Grupa je koristila dva glavna zlonamerna alata: Backdoor.Oldrea i Trojan.Karagany. Prvi alat izgleda kao prilagođeni deo zlonamernog softvera, koji su napisali napadači ili  je za njih pisan. Pre objavljivanja, Symantec je obavestio žrtve pogođene ovim problemom i relevantne nacionalne vlasti, kao što su Centri za hitne računarske intervencije (Computer Emergency Response Centers (CERTs)) koji se bave i reaguju povodom incidenata na polju bezbednosti na internetu.

Pozadina

Dragonfly grupa, koju dobavljači znaju kao Energetic Bear („Energični medved“), je aktivna od 2011, a moguće je i duže. Dragonfly je u početku za cilj imao kompanije iz SAD i Kanade koje se bave odbranom i avijacijom, pre nego što su početkom 2013. svoj fokus preusmerili uglavnom na energetske firme iz SAD i Evrope. Kampanja protiv energetskog sektora u Evropi i Americi se brzo raširila u svom obimu. Grupa je na početku počela sa slanjem zlonamernog softvera u elektronskoj pošti osoblju ciljanih firmi. Kasnije je grupa svojoj ofanzivi dodala napade „zalivanje rupe“, ugrožavajući internet sajtove koje bi najverovatnije trebalo da posete oni koji rade u ovoj grani industrije, kako bi ih preusmerili na sajtove koji imaju ovaj zlonamerni alat. Ovaj alat je zauzvrat isporučivao zlonamerni softver računarima žrtava. Treća faza kampanje je bila „trojanizacija“ legitimnog pratećeg softvera koji pripada trima različitim proizvođačima  opreme sistema industrijske kontrole. Dragonfly ima elemente koji bi ga označili kao državno sponzorisanu operaciju, uz pokazan visok nivo tehničke umešnosti. Grupa je sposobna da sprovede napade iz više pravaca i da ugrozi veliki broj internet sajtova trećih strana u ovom procesu. Dragonfly je imao za cilj više organizacija u energetskom sektoru tokom dužeg vremenskog perioda. Njihov glavni motiv je izgleda sajberšpijunaža, sa mogućnošću sabotaže kao konačne sekundarne mogućnosti. Analiza kompilacije vremenskih oznaka zlonamernog softvera koje su koristili napadači, pokazuje da je grupa najčešće radila na njemu od ponedeljka do petka, sa aktivnostima uglavnom koncentrisanim na period od devet sati koji odgovara radnom danu od 09:00 do 18:00 u vremenskoj zoni UTC +4. U skladu sa ovim informacijama, najverovatnije je da su napadači smešteni u istočnoj Evropi. [caption id="attachment_2427" align="alignleft" width="450"]Top 10 zemalja po broju aktivnih infekcija (gde su napadači ukrali informacije sa zaraženih računara)  Top 10 zemalja po broju aktivnih infekcija (gde su napadači ukrali informacije sa zaraženih računara)[/caption]  

Upotrebljeni alati

Dragonfly koristi dva glavna dela zlonamernih softvera prilikom napada. Oba predstavljaju tipove zlonamernih softverskih alatki sa mogućnošću daljinskog pristupa (remote access tool – RAT) koji omogućavaju napadačima da pristupaju i kontrolišu ugrožene računare. Omiljen zlonamerni alat grupe Dragonfly je Backdoor.Oldrea, poznat i po imenu Havex ili Energetic Bear RAT. Oldrea funkcioniše kao tajni ulaz napadačima na računarima žrtve, omogućavajući im da raspakuju podatke i instaliraju zlonamerni softver. Oldrea je prilagođeni zlonamerni softver, koji je napisala ova grupa ili  je za njih kreiran. Ovo nam daje neke nagoveštaje o mogućnostima i resursima koji stoje iza Dragonfly grupe. Kada je instalirana na računar žrtve, Oldrea prikuplja sistemske informacije, zajedno sa listom datoteka, programima instaliranim i spisak dostupnih diskova. Takođe vadi podatke iz Outlook adresara iz zaraženog računara, ali i  konfiguracione VPN datoteke. Ovi podaci su onda upisani u privremene datoteke u šifrovanom formatu pre nego što su poslati na server kojim sa daljine upravljaju i kotrolišu ga (C&C) napadači. Većina C&C servera se izgleda nalaze na provaljenim serverima koji imaju pokrenute sisteme za upravljanje sadržajem, ukazujući da su napadači koristili istu zloupotrebu kako bi stekli kontrolu nad svakim serverom. Oldrea poseduje osnovni kontrolni pano koji omogućava autorizovanim korisnicima da preuzmu komprimovanu verziju ukradenih podataka za svaku žrtvu. Druga glavna alatka koju koristi Dragnofly je Trojan.Kargany. Za razliku od Oldrea softvera, Kargany se nalazi na crnom tržištu. Izvorni kod verzije 1 softvera Kargany je procureo 2010. Symantec veruje da je Dragonfly iskoristio ovaj izvorni kod i modifikovao ga za svoje potrebe. Ovu verziju je Symantec detektovao kao Trojan.Karagany!gen1. Kargany ima mogućnost slanja ukradenih podataka, preuzimajući nove datoteke i startujući izvršne datoteke na zaraženom računaru. Takođe ima i mogućnost pokretanja dodatnih programa kao što su alati za prikupljanje šifara, snimaka ekrana i katalogizaciju dokumenata na zaraženim računarima. Symantec je pronašao da su napadači većinu računara zarazili Oldrea zlonamernim softverom. Kargany je upotrebljen u oko 5 odsto infekcija. Dva zlonamerna programa su slični po funkcionalnostima, a šta je podstaklo napadače da odaberu jedan ili drugi alat ostaje nepoznato.

Višestruki pravci napada

Dragonfly grupa je koristila najmanje tri taktike kako bi zarazila ciljeve u energetskom sektoru. Najraniji metod je bila kampanja neželjene pošte, koja je imala za cilj odabrane rukovodioce i više službenike u ciljanim kompanijama tako što su dobijali elektronsku poštu zaraženu zlonamernim PDF prilozima. Zaražena pošta je imala jedan od dva reda u predmetu poruke: „The account“ ili  “Settlement of delivery problem”. Sva elektronska pošta je poslata sa jedne Gmail adrese. Kampanja je počela u februaru 2013. i nastavljena je u junu 2013. Symantec je identifikovao sedam organizacija koje su bile ciljane ovom kampanjom. Broj poruka elektronske pošte poslatih svakoj organizaciji se kreće od jedne do 84. Napadači su onda prebacili njihov fokus na napade „zalivanje rupe“ koji su obuhvatali brojne sajtove sa temom energetike i ubrizgavanje „iframe“ dela HTML koda na svaki od sajtova koji je preusmeravao posetioce na drugi provaljen legitimni sajt koji je sadržao zloupotrebu „Lightsout“. Ova zloupotreba koristi ili Javu ili Internet Explorer kako bi zarazila računar žrtve pomoću Oldrea ili Kargany zlonamernog softvera. Činjenica da su napadači provalili mnoge legitimne sajtove tokom svake faze operacija predstavlja dodatni dokaz da grupa ima snažne tehničke mogućnosti. Dragonfly je u septembru 2013. počeo da koristi novu verziju ove zloupotrebe, poznate kao „Hello“ zloupotreba. Pristupna stranica ove zloupotrebe sadrži JavaScript koji skenira sistem, identifikujući instalirane dodatne programe za brauzer. Žrtva je tada preusmerena na internet adresu koja onda odlučuje koju zloupotrebu je najbolje koristiti na osnovu prikupljenih podataka.

Trojanizovan softver

Najambiciozniji pravac napada koji je koristio Dragonfly se sastojao od brojnih legitimnih softverskih paketa. Tri različita dobavljača opreme sistema industrijske kontrole su ciljani i zlonamerni softver je ubačen u prateći softver koji su oni omogućili za prezuimanje na njihovim sajtovima. Sve tri kompanije su pravile opremu koja je upotrebljena u raznim industrijskim sektorima, uključujući energetiku. Prvi identifikovani trojanizovani softver je bio proizvod koji se koristi da obezbedi VPN pristup, tipu uređaja sa programibilnim logičnim kontrolerom (PLC). Proizvođač je otkrio napad ubrzo nakon što je izveden, ali se desilo već  250 jedinstvenih preuzimanja kompromitovanog softvera. Druga kompromitovana kompanija je evropski proizvođač, specijalista za PLC vrstu uređaja. U ovom slučaju, softverski paket koji sadrži drajver za jedan od uređaja je bio provaljen. Symantec procenjuje da je trojanizovani softver bio dostupan za preuzimanje najmanje šest nedelja u junu i julu 2013. Treća napadnuta firma je evropska kompanija koja razvija sisteme za upravljanje vetro turbinama, postrojenjima na biogas i drugu energetsku infrastrukturu. Symantec veruje da je provaljeni softver bio dostupan za preuzimanje približno deset dana u aprilu 2014. Dragonfly grupa je tehnički vična i ima mogućnost strateškog razmišljanja. Uzimajući u obzir veličinu nekih od njihovih meta, grupa je pronašla „slabu tačku“ ugrožavajući snabdevače, koji su znatno manje i slabije zaštićene kompanije.

Zaštita

Symantec je postavio sledeće detekcije koje štite potrošače od zlonamernih softvera upotrebljenih u ovim napadima: Detekcija antivirusa: Potpisi za sprečavanje upada ]]>