Wymierzona w szereg firm, g?ównie z sektora energetycznego, trwaj?ca kampania szpiegostwa komputerowego umo?liwi?a atakuj?cym zorganizowanie dzia?a? sabota?owych skierowanych przeciwko ich ofiarom. Agresorom, znanym firmie Symantec jako Dragonfly, uda?o si? z?ama? zabezpieczenia wielu organizacji istotnych pod wzgl?dem strategicznym w celu wykorzystania ich do szpiegowania. Gdyby zastosowali techniki sabota?owe, którymi dysponuj?, mogliby spowodowa? awarie lub przerwy w dostawie energii w zaatakowanych krajach.
W?ród celów Dragonfly znale?li si? operatorzy sieci energetycznych, du?e elektrownie, operatorzy ruroci?gów naftowych oraz dostawcy sprz?tu przemys?owego dla firm z bran?y energetycznej. Wi?kszo?? ofiar ma swoje siedziby w Stanach Zjednoczonych, Hiszpanii, Francji, W?oszech, Niemczech, Turcji i Polsce.
Grupa Dragonfly jest bardzo dobrze wyposa?ona — dysponuje szeregiem z?o?liwych narz?dzi i mo?e przypuszcza? ataki wieloma ró?nymi kana?ami. Najbardziej zaawansowany atak grupy doprowadzi? do z?amania zabezpiecze? wielu dostawców sprz?tu do przemys?owych systemów sterowania (industrial control system, ICS), co spowodowa?o zainfekowanie udost?pnianego przez nich oprogramowania koniem troja?skim o dost?pie zdalnym. W wyniku tego ataku firmy instalowa?y z?o?liwe oprogramowanie wraz z aktualizacjami pobieranymi na komputery obs?uguj?ce taki sprz?t. Zainfekowane komputery nie tylko zapewni?y w?amywaczom przyczó?ek w sieciach atakowanych organizacji, lecz tak?e dostarczy?y im ?rodków umo?liwiaj?cych zorganizowanie akcji sabota?owych przeciwko zainfekowanym komputerom ICS.
Ta kampania stanowi powtórzenie dzia?a? Stuxnet, pierwszej znanej du?ej kampanii przeciwko systemom ICS, która korzysta?a ze z?o?liwego oprogramowania. Jednak?e, podczas gdy g?ównym celem akcji Stuxnet by?o sabotowanie ira?skiego programu nuklearnego, zakres dzia?a? Dragonfly jest du?o szerszy i obejmuje przede wszystkim szpiegowanie oraz mo?liwo?? sta?ego dost?pu, a sabota? jest jedynie mo?liwo?ci? opcjonaln? do wykorzystania w razie potrzeby.
Poza ?amaniem zabezpiecze? oprogramowania ICS do infekowania atakowanych organizacji cz?onkowie grupy Dragonfly u?ywaj? spamu rozsy?anego poczt? elektroniczn? oraz ataków typu „watering hole”. Grupa korzysta z dwóch g?ównych z?o?liwych narz?dzi: Backdoor.Oldrea i Trojan.Karagany. Pierwsze z nich jest najprawdopodobniej niestandardowym programem destrukcyjnym napisanym przez samych agresorów lub specjalnie dla nich.
Przed opublikowaniem informacji firma Symantec poinformowa?a ofiary ataków i odpowiednie w?adze krajowe, takie jak centra Computer Emergency Response Center (CERT), które zajmuj? si? incydentami zwi?zanymi z bezpiecze?stwem w Internecie i reagowaniem na nie.
Informacje podstawowe
Grupa Dragonfly, która przez innych dostawców jest tak?e nazywana Energetic Bear, dzia?a prawdopodobnie od roku 2011, a mo?liwe, ?e du?o d?u?ej. Na pocz?tku atakowa?a firmy z sektora obronnego i lotniczego w Stanach Zjednoczonych i Kanadzie, po czym na pocz?tku roku 2013 skoncentrowa?a si? g?ównie na ameryka?skich i europejskich firmach z bran?y energetycznej.
Zakres kampanii skierowanych przeciwko nim szybko si? poszerza?. Najpierw grupa rozsy?a?a do ich pracowników z?o?liwe oprogramowanie w wiadomo?ciach e-mail typu „phishing”. Nast?pnie umie?ci?a ataki typu „watering hole” w zainfekowanych witrynach odwiedzanych przez pracowników sektora energetycznego, które mia?y na celu przekierowanie ich do witryn zawieraj?cych zestaw mechanizmów wykorzystywania luk. Ten z kolei instalowa? destrukcyjny program na komputerach ofiar. Trzeci etap kampanii polega? na zainfekowaniu ko?mi troja?skimi legalnych pakietów oprogramowania udost?pnianych przez trzech ró?nych producentów sprz?tu ICS.
Grupa Dragonfly ma cechy operacji sponsorowanej przez pa?stwo — charakteryzuje si? bardzo wysokimi umiej?tno?ciami technicznymi. Jest w stanie przypuszcza? ataki wieloma kana?ami i ?ama? przy tym zabezpieczenia wielu witryn obs?ugiwanych przez podmioty zewn?trzne. W d?ugim okresie zaatakowa?a wiele organizacji z sektora energetycznego. Wydaje si?, ?e jej g?ównym motywem jest szpiegostwo komputerowe, a konkretnym celem dodatkowym — mo?liwo?? przeprowadzania akcji sabota?owych.
Analiza sygnatur czasowych u?ytych przez w?amywaczy kompilacji z?o?liwych programów wykaza?a, ?e grupa dzia?a?a g?ównie od poniedzia?ku do pi?tku, z najwi?ksz? intensywno?ci? w okresie dziewi?ciogodzinnym odpowiadaj?cym godzinom pracy 9:00–16:00 w strefie czasowej UTC +4. Na tej podstawie mo?na przyj??, ?e atakuj?cy znajduj? si? prawdopodobnie w Europie Wschodniej.
Rysunek 1. 10 krajów z najwi?ksz? liczb? aktywnych infekcji (gdzie atakuj?cy wykradli informacje z zainfekowanych komputerów)
U?yte narz?dzia
Dragonfly stosuje w swoich atakach dwa g?ówne z?o?liwe programy. Oba s? narz?dziami do uzyskiwania dost?pu zdalnego (remote access tool, RAT), które umo?liwiaj? atakuj?cym przej?cie kontroli nad zainfekowanymi komputerami. Ulubionym narz?dziem grupy jest Backdoor.Oldrea, znany te? jako Havex lub Energetic Bear RAT. Dzia?a ono jako tylne wej?cie wpuszczaj?ce w?amywaczy do komputera ofiary i umo?liwiaj?ce im pobranie danych oraz zainstalowanie kolejnych destrukcyjnych programów.
Najprawdopodobniej jest to program niestandardowy, napisany przez sam? grup? lub utworzony przez kogo? innego specjalnie dla niej. Stanowi to pewn? wskazówk? ?wiadcz?c? o mo?liwo?ciach i zasobach, jakimi dysponuje Dragonfly.
Po zainstalowaniu na komputerze ofiary Oldrea zbiera informacje o systemie obejmuj?ce list? plików, zainstalowane programy oraz katalog g?ówny dost?pnych nap?dów. Pobiera równie? dane z ksi??ki adresowej programu Outlook i pliki konfiguracyjne sieci VPN. Zebrane dane s? zapisywane w pliku tymczasowym w formacie szyfrowanym, a nast?pnie wysy?ane do kontrolowanego przez atakuj?cych zdalnego serwera dowodzenia i sterowania.
Wi?kszo?? takich serwerów jest najprawdopodobniej hostowana na zainfekowanych serwerach obs?uguj?cych systemy zarz?dzania tre?ci?, co ?wiadczy o tym, ?e agresorzy zapewne przej?li nad nimi kontrol? przy u?yciu tych samych mechanizmów wykorzystywania luk. Oldrea ma podstawowy panel sterowania pozwalaj?cy uwierzytelnionemu u?ytkownikowi na pobranie skompresowanych wersji wykradzionych danych poszczególnych ofiar.
Drugim g?ównym narz?dziem stosowanym przez Dragonfly jest Trojan.Karagany. W odró?nieniu od programu Oldrea, Karagany by? ju? dost?pny na czarnym rynku. Kod ?ród?owy pierwszej wersji tego programu wyciek? w 2010 roku. Wed?ug firmy Symantec grupa Dragonfly przej??a go i zmodyfikowa?a pod k?tem swoich potrzeb. Ta wersja zosta?a wykryta przez firm? Symantec jako Trojan.Karagany!gen1.
Karagany mo?e przesy?a? wykradzione dane, pobiera? nowe pliki i uruchamia? pliki wykonywalne na zainfekowanym komputerze. Potrafi równie? uruchamia? dodatkowe wtyczki, s?u??ce na przyk?ad do przechwytywania hase?, robienia zrzutów ekranu czy katalogowania dokumentów.
Firma Symantec wykry?a, ?e wi?kszo?? komputerów, które pad?y ofiar? atakuj?cych, zosta?a zainfekowana programem Oldrea. Program Karagany zosta? u?yty w przypadku zaledwie 5 procent infekcji. Oba programy dzia?aj? podobnie i nie wiadomo, dlaczego atakuj?cy wyra?nie ch?tniej korzystaj? z jednego z nich.
Wiele kana?ów ataków
W swoich atakach na cele z bran?y energetycznej grupa Dragonfly stosowa?a co najmniej trzy taktyki infekowania. Pierwsz? z nich by?a kampania rozsy?ania spamu poczt? e-mail, w ramach której wybrani kierownicy i starsi pracownicy atakowanych firm otrzymali wiadomo?ci zawieraj?ce zainfekowany za??cznik PDF. Mia?y one tematy „The account” (Konto) lub „Settlement of delivery problem” (Rozwi?zanie problemu z dostarczeniem) i wszystkie zosta?y wys?ane z jednego adresu Gmail.
Kampania rozsy?ania spamu zacz??a si? w lutym 2013 roku i trwa?a do czerwca 2013 r. Firma Symantec zidentyfikowa?a siedem organizacji, które zosta?y wówczas zaatakowane. Liczba wiadomo?ci wysy?anych do poszczególnych organizacji waha?a si? od jednej do 84.
Nast?pnie atakuj?cy skoncentrowali si? na atakach typu „watering hole”. Doprowadzi?o to do z?amania zabezpiecze? wielu witryn zwi?zanych z tematyk? energetyczn? i wprowadzenia w nie elementu iframe, który z kolei mia? przekierowywa? u?ytkowników do innej prawdziwej witryny o z?amanych zabezpieczeniach, gdzie zosta? umieszczony zestaw mechanizmów wykorzystywania luk Lightsout. Wykorzystuje on luki w zabezpieczeniach programów Java lub Internet Explorer w celu wprowadzenia programu Oldrea lub Karagany do komputera ofiary. Fakt, ?e na ka?dym etapie operacji atakuj?cym uda?o si? przej?? kontrol? nad wieloma legalnymi witrynami, jest kolejnym dowodem na ich du?e mo?liwo?ci techniczne.
We wrze?niu 2013 r. grupa Dragonfly zacz??a korzysta? z nowej wersji zestawu mechanizmów wykorzystywania luk znanej jako Hello. Jego strona docelowa zawiera kod JavaScript, który okre?la cechy charakterystyczne systemu przez zidentyfikowanie zainstalowanych wtyczek przegl?darki. Ofiara jest nast?pnie przekierowywana pod adres URL, który z kolei na podstawie zebranych informacji ustala, jakiego zestawu mechanizmów wykorzystywania luk nale?y u?y? w danym przypadku.
Oprogramowanie zainfekowane koniem troja?skim
Najbardziej zaawansowany sposób ataku stosowany przez grup? Dragonfly polega? na przej?ciu kontroli nad wieloma prawid?owymi pakietami oprogramowania. Zostali zaatakowani trzej ró?ni dostawcy sprz?tu ICS — w pakiety oprogramowania udost?pniane przez nich do pobrania w witrynie internetowej zosta? wprowadzony destrukcyjny kod. Wszystkie trzy firmy produkuj? sprz?t stosowany w wielu sektorach przemys?u, w tym w bran?y energetycznej.
Pierwszym zidentyfikowanym programem zainfekowanym koniem troja?skim by? produkt s?u??cy do konfigurowania dost?pu przez sie? VPN do programowalnych sterowników logicznych (Programmable Logic Controller, PLC). Jego dostawca wykry? atak wkrótce po jego wyst?pieniu, ale do tego czasu ju? 250 osób zd??y?o pobra? oprogramowanie.
Drug? zaatakowan? firm? by? europejski producent specjalistycznych sterowników PLC. W tym przypadku zosta? zainfekowany pakiet oprogramowania zawieraj?cy sterownik do jednego ze sprzedawanych urz?dze?. Wed?ug szacunków firmy Symantec oprogramowanie z koniem troja?skim by?o dost?pne do pobrania co najmniej przez sze?? tygodni w czerwcu i lipcu 2013 r.
Trzeci? ofiar? by?a europejska firma produkuj?ca systemy do zarz?dzania turbinami wiatrowymi, wytwórniami biogazu i inn? infrastruktur? energetyczn?. Wed?ug firmy Symantec zainfekowane oprogramowanie mog?o by? dost?pne do pobrania przez oko?o dziesi?? dni w kwietniu 2014 r.
Cz?onkowie grupy Dragonfly maj? du?e umiej?tno?ci techniczne i potrafi? my?le? strategicznie. Bior?c pod uwag? rozmiar niektórych atakowanych organizacji, mo?na uzna?, ?e grupa znalaz?a ich s?aby punkt — z?ama?a zabezpieczenia ich dostawców, czyli firm znacznie mniejszych i du?o s?abiej chronionych.
Ochrona
Firma Symantec dysponuje nast?puj?cymi metodami wykrywania, które mog? ochroni? jej klientów przed z?o?liwym oprogramowaniem stosowanym w tych atakach:
Wykrywanie wirusów
Sygnatury systemu zapobiegania w?amaniom
- Ataki internetowe: zestaw mechanizmów wykorzystywania luk Lightsout
- Ataki internetowe: zestaw narz?dzi Lightsout Toolkit Website 4
Wi?cej informacji technicznych o atakach grupy Dragonfly zawiera nasze opracowanie techniczne.