Weak passwords make for creative design. If you use 123456 or password as your password, you may as well wear it for all to see. It’s THAT easy to crack. To illustrate this point, Lorrie Cranor, quilt artist, and oh yeah, director of the CyLab Usable Privacy and Security Laboratory at Carnegie Mellon University, designed […]
I bet you would be lost without your smartphone. It’s your lifeline to contacts, emails, and personal information, not to mention all those apps that you use for fun, entertainment, and business. You probably have bought something using your phone, so your credit card information is there, as well as your account log ins. In […]
The gang behind one of the world’s most advanced financial fraud Trojans has experienced a major setback after an international law enforcement operation seized a significant amount of its infrastructure.
This month the vendor is releasing six bulletins covering a total of 29 vulnerabilities. Twenty-four of this month’s issues are rated Critical.
Read more…
Un campaña de ciberespionaje contra una amplia variedad de blancos, principalmente el sector energético, le ha dado a los atacantes cibernéticos la posibilidad de montar operaciones de sabotaje contra sus víctimas. El grupo detrás de los ataques, denominados por Symantec como Dragonfly, lograron comprometer una considerable cantidad de organizaciones estratégicamente importantes con propósitos de espionaje y, al poder hacer uso de las capacidades de sabotaje con las que cuentan, podrían causar daños o disrupción a los suministros de energías de los países afectados.
Entre los blancos de Dragonfly se encontraron operadores de red de energía, las principales firmas de generación de electricidad, operadores de ductos de petróleos, y proveedores de equipamientos industriales del sector energético. La mayor parte de estas víctimas se encuentran en los Estados Unidos, España, Francia, Italia, Turquía y Polonia.
El grupo Dragonfly cuenta con varios recursos, con un amplio rango de herramientas a su disposición y se encuentra capacitado para lanzar varios ataques a través de diferentes vectores. Su campaña de ataque más ambiciosa demostró como pudo comprometer a varios proveedores de equipos de sistemas de control industrial (ICS) infectando su software con un troyano de acceso remoto. Como resultado, al descargar el software para actualizar aquellas máquinas con ICS, el software malicioso se instaló en las compañías afectadas. Estas infecciones no sólo le brindó a los atacantes con un acceso a la red de las organizaciones blanco, sino también con los medios para montar operaciones de sabotaje contras las computadoras afectadas de ICS.
Esta campaña sigue los pasos de Stuxnet, la cual fue la primera gran campaña en atacar a sistemas ICS. Si bien Stuxnet se concentró en el programa de nuclear iraní y en realizar sabotajes, Dragonfly parece tener un foco más amplio en espionaje.
Además de comprometer el software de ICS, Dragonfly ha usado campañas de correo electrónico infectados y ataques de tipo watering hole para infectar organizaciones blanco. Este grupo ha usado los 2 principales tipos de herramientas de software malicioso: Backdoor.Oldrea y Trojan.Karagany.
Antes de la publicación de esta investigación, Symantec notificó sobre esta campaña a los afectados y a las autoridades correspondientes.
Antecedentes
El grupo Dragonfly, también conocido por otros proveedores como Energetic Bear, aparenta estar en operación desde al menos el año 2011 y puede que haya estado activo desde mucho antes. Inicialmente, Dragonfly tenía como blanco las compañías de defensa y aviación de Estados Unidos y Canadá antes de cambiar de foco principal hacia firmas energéticas de Europa y Estados Unidos a principios de 2013.
El análisis de compilación de los períodos de tiempo en el que el software malicioso fue utilizado por los atacantes, indica que el grupo habría trabajado entre lunes y viernes, con actividad principalmente en el periodo de 9 horas correspondientes a 9 a.m. a 6 p.m. en el huso horario UTC+4. Dada esta información, es muy probable que los atacantes se encuentren en Europa del este.
Imagen. Los principales 10 países con infecciones activas (donde los atacantes robaron información de las computadoras infectadas)
Herramientas utilizadas
Dragonfly utiliza dos piezas de software malicioso en sus ataques. Ambas, son herramientas de acceso remoto (RAT) que les permite acceder y tomar control de los equipos comprometidos.
La herramienta de preferencia de Dragonfly es Backdoor.Oldrea, también conocida como Havex o Energetic Bear RAT. Oldrea actúa como una puerta trasera para los atacantes en la computadora de la víctima, permitiendo extraer datos e instalar más software maliciosos adicionales.
Adicionalmente, Oldrea acumula información del sistema, junto con un listado de archivos, programas instalados y la raíz de las unidades disponibles. También extrae datos de la libreta de contactos de Outlook y los archivos de configuración de VPN. Estos datos se escriben en archivos temporarios con formato encriptado antes de ser enviado al servidor remoto de comando y control (C&C) controlado por los atacantes.
La segunda herramienta utilizada por Dragonfly es Trojan.Karagany. La versión 1 del código fuente de Karagany se infiltró en 2010. Desde Symantec, creemos que Dragonfly puede haber tomado este código fuente y haberlo modificado para su uso. La versión detectada por Symantec fue Trojan.Karagany!gen1.
Karagany es capaz de subir datos robados, descargar nuevos archivos, y ejecutar archivos en las computadoras infectadas. También puede ejecutar plugins adicionales, como herramientas de recolección de contraseñas, tomar screenshots, y catalogación de documentos en las máquinas infectadas.
Symantec encontró que la mayoría de las computadoras fueron comprometidas con Oldrea. Karagany fue utilizada solo en alrededor del 5 por ciento de las infecciones.
Múltiples vectores de ataques
El grupo Dragonfly ha utilizado al menos 3 tácticas de infección contra los blancos en el sector energético.
El grupo Dragonfly utilizó, al menos, tres estrategias de infección de objetivos del sector energético. El primer método fue una campaña de spam por correo electrónico, durante la cual determinados empleados de nivel ejecutivo de las empresas objetivo recibieron correos electrónicos con archivos PDF maliciosos adjuntos. Los correos electrónicos infectados mostraban uno de los siguientes dos asuntos: “La cuenta” o “Solución del problema de entrega” Todos los correos electrónicos provenían de una dirección única de Gmail.
La campaña de spam comenzó en febrero de 2013 y continuó hasta junio de 2013. Symantec identificó a siete organizaciones objetivo distintas en esta campaña. La cantidad de correos electrónicos enviados a cada organización fue de 1 a 84.
Posteriormente, los atacantes reorientaron su enfoque en forma de ataque de tipo “watering hole”. De esta manera, lograron infectar varios sitios web relacionados con el sector energético e inyectaron un iframe en cada uno de ellos, lo cual redireccionó a los visitantes a otro sitio web legítimo afectado que hospedaba el kit de explotación Lightsout. Lightsout utiliza Java o Internet Explorer para insertar Oldrea o Karagany en el equipo de la víctima. El hecho de que los atacantes infectaron varios sitios web legítimos en cada etapa de la operación es una prueba más de que el grupo cuenta con sólidas capacidades técnicas.
En septiembre de 2013, Dragonfly comenzó a usar una nueva versión de este kit de explotación, conocido como kit de explotación Hello. La página de destino de este kit contiene JavaScript, que toma huellas digitales del sistema a fin de identificar complementos del navegador instalado. A continuación, se redirecciona a la víctima a una URL que, a su vez, determina el mejor punto vulnerable que debe usarse de acuerdo con la información recopilada.
Software troyano
El vector de ataque más ambicioso utilizado por Dragonfly fue el compromiso de un número de paquetes de software legítimos. Tres diferentes proveedores de equipamiento ICS fueron el blanco y el software malicioso fue insertado a través de paquetes de software legítimos que se encontraban disponibles para descargar en sus sitios web.
Entre los ataques identificados se encuentra el software troyano de un producto utilizado para brindar acceso de VPN a dispositivos del tipo controlador lógico programable (PLC). Si bien el proveedor reportó el ataque muy poco después de haber ocurrido, ya había habido 250 descargas únicas del software comprometido.
También se detectó el ataque una compañía Europea que desarrolla sistemas para manejar turbinas de viento y otras infraestructuras. Symantec cree que el software comprometido pudo haber estado disponible para descargar por aproximadamente diez días en abril de 2014.
El grupo Dragonfly se encuentra capacitado para pensar estratégicamente. Dado el tamaño de algunos blancos, el grupo encontró su “talón de Aquiles” al comprometer a sus proveedores, quienes son más pequeños, y compañías menos protegidas.
Protección
Symantec cuenta con las siguientes detecciones que protegerán a los clientes con las versiones más recientes de nuestros productos de los software maliciosos utilizados en estos ataques:
Detección de antivirus
Sistema de prevención de intrusos
Para más detalles técnicos, acceda a nuestro whitepaper (en Inglés)
Spam emails take advantage of July 4 with fake offers.
Read more…
Wymierzona w szereg firm, głównie z sektora energetycznego, trwająca kampania szpiegostwa komputerowego umożliwiła atakującym zorganizowanie działań sabotażowych skierowanych przeciwko ich ofiarom. Agresorom, znanym firmie Symantec jako Dragonfly, udało się złamać zabezpieczenia wielu organizacji istotnych pod względem strategicznym w celu wykorzystania ich do szpiegowania. Gdyby zastosowali techniki sabotażowe, którymi dysponują, mogliby spowodować awarie lub przerwy w dostawie energii w zaatakowanych krajach.
Wśród celów Dragonfly znaleźli się operatorzy sieci energetycznych, duże elektrownie, operatorzy rurociągów naftowych oraz dostawcy sprzętu przemysłowego dla firm z branży energetycznej. Większość ofiar ma swoje siedziby w Stanach Zjednoczonych, Hiszpanii, Francji, Włoszech, Niemczech, Turcji i Polsce.
Grupa Dragonfly jest bardzo dobrze wyposażona — dysponuje szeregiem złośliwych narzędzi i może przypuszczać ataki wieloma różnymi kanałami. Najbardziej zaawansowany atak grupy doprowadził do złamania zabezpieczeń wielu dostawców sprzętu do przemysłowych systemów sterowania (industrial control system, ICS), co spowodowało zainfekowanie udostępnianego przez nich oprogramowania koniem trojańskim o dostępie zdalnym. W wyniku tego ataku firmy instalowały złośliwe oprogramowanie wraz z aktualizacjami pobieranymi na komputery obsługujące taki sprzęt. Zainfekowane komputery nie tylko zapewniły włamywaczom przyczółek w sieciach atakowanych organizacji, lecz także dostarczyły im środków umożliwiających zorganizowanie akcji sabotażowych przeciwko zainfekowanym komputerom ICS.
Ta kampania stanowi powtórzenie działań Stuxnet, pierwszej znanej dużej kampanii przeciwko systemom ICS, która korzystała ze złośliwego oprogramowania. Jednakże, podczas gdy głównym celem akcji Stuxnet było sabotowanie irańskiego programu nuklearnego, zakres działań Dragonfly jest dużo szerszy i obejmuje przede wszystkim szpiegowanie oraz możliwość stałego dostępu, a sabotaż jest jedynie możliwością opcjonalną do wykorzystania w razie potrzeby.
Poza łamaniem zabezpieczeń oprogramowania ICS do infekowania atakowanych organizacji członkowie grupy Dragonfly używają spamu rozsyłanego pocztą elektroniczną oraz ataków typu „watering hole”. Grupa korzysta z dwóch głównych złośliwych narzędzi: Backdoor.Oldrea i Trojan.Karagany. Pierwsze z nich jest najprawdopodobniej niestandardowym programem destrukcyjnym napisanym przez samych agresorów lub specjalnie dla nich.
Przed opublikowaniem informacji firma Symantec poinformowała ofiary ataków i odpowiednie władze krajowe, takie jak centra Computer Emergency Response Center (CERT), które zajmują się incydentami związanymi z bezpieczeństwem w Internecie i reagowaniem na nie.
Grupa Dragonfly, która przez innych dostawców jest także nazywana Energetic Bear, działa prawdopodobnie od roku 2011, a możliwe, że dużo dłużej. Na początku atakowała firmy z sektora obronnego i lotniczego w Stanach Zjednoczonych i Kanadzie, po czym na początku roku 2013 skoncentrowała się głównie na amerykańskich i europejskich firmach z branży energetycznej.
Zakres kampanii skierowanych przeciwko nim szybko się poszerzał. Najpierw grupa rozsyłała do ich pracowników złośliwe oprogramowanie w wiadomościach e-mail typu „phishing”. Następnie umieściła ataki typu „watering hole” w zainfekowanych witrynach odwiedzanych przez pracowników sektora energetycznego, które miały na celu przekierowanie ich do witryn zawierających zestaw mechanizmów wykorzystywania luk. Ten z kolei instalował destrukcyjny program na komputerach ofiar. Trzeci etap kampanii polegał na zainfekowaniu końmi trojańskimi legalnych pakietów oprogramowania udostępnianych przez trzech różnych producentów sprzętu ICS.
Grupa Dragonfly ma cechy operacji sponsorowanej przez państwo — charakteryzuje się bardzo wysokimi umiejętnościami technicznymi. Jest w stanie przypuszczać ataki wieloma kanałami i łamać przy tym zabezpieczenia wielu witryn obsługiwanych przez podmioty zewnętrzne. W długim okresie zaatakowała wiele organizacji z sektora energetycznego. Wydaje się, że jej głównym motywem jest szpiegostwo komputerowe, a konkretnym celem dodatkowym — możliwość przeprowadzania akcji sabotażowych.
Analiza sygnatur czasowych użytych przez włamywaczy kompilacji złośliwych programów wykazała, że grupa działała głównie od poniedziałku do piątku, z największą intensywnością w okresie dziewięciogodzinnym odpowiadającym godzinom pracy 9:00–16:00 w strefie czasowej UTC +4. Na tej podstawie można przyjąć, że atakujący znajdują się prawdopodobnie w Europie Wschodniej.
Rysunek 1. 10 krajów z największą liczbą aktywnych infekcji (gdzie atakujący wykradli informacje z zainfekowanych komputerów)
Dragonfly stosuje w swoich atakach dwa główne złośliwe programy. Oba są narzędziami do uzyskiwania dostępu zdalnego (remote access tool, RAT), które umożliwiają atakującym przejęcie kontroli nad zainfekowanymi komputerami. Ulubionym narzędziem grupy jest Backdoor.Oldrea, znany też jako Havex lub Energetic Bear RAT. Działa ono jako tylne wejście wpuszczające włamywaczy do komputera ofiary i umożliwiające im pobranie danych oraz zainstalowanie kolejnych destrukcyjnych programów.
Najprawdopodobniej jest to program niestandardowy, napisany przez samą grupę lub utworzony przez kogoś innego specjalnie dla niej. Stanowi to pewną wskazówkę świadczącą o możliwościach i zasobach, jakimi dysponuje Dragonfly.
Po zainstalowaniu na komputerze ofiary Oldrea zbiera informacje o systemie obejmujące listę plików, zainstalowane programy oraz katalog główny dostępnych napędów. Pobiera również dane z książki adresowej programu Outlook i pliki konfiguracyjne sieci VPN. Zebrane dane są zapisywane w pliku tymczasowym w formacie szyfrowanym, a następnie wysyłane do kontrolowanego przez atakujących zdalnego serwera dowodzenia i sterowania.
Większość takich serwerów jest najprawdopodobniej hostowana na zainfekowanych serwerach obsługujących systemy zarządzania treścią, co świadczy o tym, że agresorzy zapewne przejęli nad nimi kontrolę przy użyciu tych samych mechanizmów wykorzystywania luk. Oldrea ma podstawowy panel sterowania pozwalający uwierzytelnionemu użytkownikowi na pobranie skompresowanych wersji wykradzionych danych poszczególnych ofiar.
Drugim głównym narzędziem stosowanym przez Dragonfly jest Trojan.Karagany. W odróżnieniu od programu Oldrea, Karagany był już dostępny na czarnym rynku. Kod źródłowy pierwszej wersji tego programu wyciekł w 2010 roku. Według firmy Symantec grupa Dragonfly przejęła go i zmodyfikowała pod kątem swoich potrzeb. Ta wersja została wykryta przez firmę Symantec jako Trojan.Karagany!gen1.
Karagany może przesyłać wykradzione dane, pobierać nowe pliki i uruchamiać pliki wykonywalne na zainfekowanym komputerze. Potrafi również uruchamiać dodatkowe wtyczki, służące na przykład do przechwytywania haseł, robienia zrzutów ekranu czy katalogowania dokumentów.
Firma Symantec wykryła, że większość komputerów, które padły ofiarą atakujących, została zainfekowana programem Oldrea. Program Karagany został użyty w przypadku zaledwie 5 procent infekcji. Oba programy działają podobnie i nie wiadomo, dlaczego atakujący wyraźnie chętniej korzystają z jednego z nich.
W swoich atakach na cele z branży energetycznej grupa Dragonfly stosowała co najmniej trzy taktyki infekowania. Pierwszą z nich była kampania rozsyłania spamu pocztą e-mail, w ramach której wybrani kierownicy i starsi pracownicy atakowanych firm otrzymali wiadomości zawierające zainfekowany załącznik PDF. Miały one tematy „The account” (Konto) lub „Settlement of delivery problem” (Rozwiązanie problemu z dostarczeniem) i wszystkie zostały wysłane z jednego adresu Gmail.
Kampania rozsyłania spamu zaczęła się w lutym 2013 roku i trwała do czerwca 2013 r. Firma Symantec zidentyfikowała siedem organizacji, które zostały wówczas zaatakowane. Liczba wiadomości wysyłanych do poszczególnych organizacji wahała się od jednej do 84.
Następnie atakujący skoncentrowali się na atakach typu „watering hole”. Doprowadziło to do złamania zabezpieczeń wielu witryn związanych z tematyką energetyczną i wprowadzenia w nie elementu iframe, który z kolei miał przekierowywać użytkowników do innej prawdziwej witryny o złamanych zabezpieczeniach, gdzie został umieszczony zestaw mechanizmów wykorzystywania luk Lightsout. Wykorzystuje on luki w zabezpieczeniach programów Java lub Internet Explorer w celu wprowadzenia programu Oldrea lub Karagany do komputera ofiary. Fakt, że na każdym etapie operacji atakującym udało się przejąć kontrolę nad wieloma legalnymi witrynami, jest kolejnym dowodem na ich duże możliwości techniczne.
We wrześniu 2013 r. grupa Dragonfly zaczęła korzystać z nowej wersji zestawu mechanizmów wykorzystywania luk znanej jako Hello. Jego strona docelowa zawiera kod JavaScript, który określa cechy charakterystyczne systemu przez zidentyfikowanie zainstalowanych wtyczek przeglądarki. Ofiara jest następnie przekierowywana pod adres URL, który z kolei na podstawie zebranych informacji ustala, jakiego zestawu mechanizmów wykorzystywania luk należy użyć w danym przypadku.
Najbardziej zaawansowany sposób ataku stosowany przez grupę Dragonfly polegał na przejęciu kontroli nad wieloma prawidłowymi pakietami oprogramowania. Zostali zaatakowani trzej różni dostawcy sprzętu ICS — w pakiety oprogramowania udostępniane przez nich do pobrania w witrynie internetowej został wprowadzony destrukcyjny kod. Wszystkie trzy firmy produkują sprzęt stosowany w wielu sektorach przemysłu, w tym w branży energetycznej.
Pierwszym zidentyfikowanym programem zainfekowanym koniem trojańskim był produkt służący do konfigurowania dostępu przez sieć VPN do programowalnych sterowników logicznych (Programmable Logic Controller, PLC). Jego dostawca wykrył atak wkrótce po jego wystąpieniu, ale do tego czasu już 250 osób zdążyło pobrać oprogramowanie.
Drugą zaatakowaną firmą był europejski producent specjalistycznych sterowników PLC. W tym przypadku został zainfekowany pakiet oprogramowania zawierający sterownik do jednego ze sprzedawanych urządzeń. Według szacunków firmy Symantec oprogramowanie z koniem trojańskim było dostępne do pobrania co najmniej przez sześć tygodni w czerwcu i lipcu 2013 r.
Trzecią ofiarą była europejska firma produkująca systemy do zarządzania turbinami wiatrowymi, wytwórniami biogazu i inną infrastrukturą energetyczną. Według firmy Symantec zainfekowane oprogramowanie mogło być dostępne do pobrania przez około dziesięć dni w kwietniu 2014 r.
Członkowie grupy Dragonfly mają duże umiejętności techniczne i potrafią myśleć strategicznie. Biorąc pod uwagę rozmiar niektórych atakowanych organizacji, można uznać, że grupa znalazła ich słaby punkt — złamała zabezpieczenia ich dostawców, czyli firm znacznie mniejszych i dużo słabiej chronionych.
Firma Symantec dysponuje następującymi metodami wykrywania, które mogą ochronić jej klientów przed złośliwym oprogramowaniem stosowanym w tych atakach:
Wykrywanie wirusów
Sygnatury systemu zapobiegania włamaniom
Więcej informacji technicznych o atakach grupy Dragonfly zawiera nasze opracowanie techniczne.
Attackers made the popular video site redirect users to the Sweet Orange Exploit Kit.
Read more…
Attackers planted code in a popular Web portal to redirect users to an exploit kit.
Read more…
標的から情報を盗み取るサイバースパイ活動の背後にいる攻撃グループが、妨害工作活動を仕掛ける能力を手に入れたようです。