Za nedávnou Havex infiltrací kontrolních průmyslových systémů ICS energetických firem a těžkého průmyslu stojí nejspíš skupina Dragonfly…
Pro SOOM.cz Daniel Beránek:
Malwarem Havex útočila státem sponzorovaná Dragonfly
Za napadením IT systémů energetických společností a těžkého průmyslu malwarem Havex stojí hackeři sponzorováni státem – nejspíš Ruskem či některým ze států Východní Evropy.
Výzkumníci Symantec potvrdili závěry kolegů z F-Secure a začlenili je do širšího kontextu. Šíření malwaru Havex má podle nich na svědomí skupina zvaná Dragonfly (někdy také Energetic Bear). Jde o skupinu státem sponzorovaných hackerů, pocházející nejspíše z Ruska, či některého ze států Východní Evropy. Zaměřují se na cíle v oblasti energetiky a těžkého průmyslu – typicky: producenty elektřiny, provozovatele elektrických sítí a ropovodů a dodavatele technologických celků těchto podniků.
Ve prospěch podezření Symantec argumentuje:
Skupina Dragonfly má silné finanční zázemí, disponuje řadou malware nástrojů a je schopna inicializovat útok mnoha různými vektory.Nedávné napadení průmyslových kontrolních systémů komentuje:Jde o jednu z doposud nejambicióznějších útočných kampaní, která vyústila v napadení obětí, když updatovaly software pro své kontrolní systémy. Infekce nejenže vybavily agresory předmostím do sítí cílových organizací, ale také jim poskytly prostředky ke spuštění sabotáží daných kontrolních systémů.Skupina k útoku použila především dva nástroje: Backdoor.Oldrea a Trojan.Karagany.
Oldrea backdoor je také známý coby Havex. Obě větve malwaru umožňují útočníkům získat backdoor do infikovaných systémů, stáhnout a nainstalovat další malware a vyvést důvěrné informace.Lokalizaci útočníků odvozují výzkumníci z analýzy souboru časových značek malwaru, které odpovídají pracovní době 9 – 18 h v časovém pásmu UTC +4. Symantec uzavírá:
Dragonfly je technicky zdatná skupina schopná myslet strategicky. Vzhledem k velikostí obětí našla citlivé místo k útoku v jejich dodavatelských společnostech, které jsou nepoměrně menší a mnohem méně zabezpečené.