A hónap elején a Symantec közleményére alapozva az IT café is bemutatta a Dragonfly (más néven Energetic Bear) elnevezésű támadássorozatot. Mint az akkori beszámolóból kiderült, a támadók legalább 2011 óta működnek, és számos stratégiailag fontos szervezet ellen kémkedtek, amellyel komoly károkat, fennakadásokat okozhattak volna az érintett országok energiaellátásában. A Symantec még a bejelentés előtt figyelmeztette a megtámadott szervezeteket és az illetékes nemzetközi hatóságokat.

A Dragonfly kezdetben védelmi és légi közlekedési vállalatokat vett célba az Egyesült Államokban és Kanadában, majd 2013 elején váltott amerikai és európai energiaipari cégekre. Célpontjai között voltak energiahálózat-üzemeltetők, nagy villamosenergia-cégek, kőolajvezeték-üzemeltetők, valamint energiaipari vezérlőrendszerekhez (industrial control system – ICS) használatos berendezéseket gyártó vállalkozások. A célpontok legnagyobb része az Egyesült Államokban, Spanyolországban, Franciaországban, Olaszországban, Németországban, Törökországban és Lengyelországban találhatók.

A Symantec most egy újabb közleményben azt igyekszik bemutatni, hogy miképp is használható fel a Dragonfly.

Taktikák, technikák, procedúrák (TTP)

A Dragonfly csoport elsősorban két eszközt használt, a Backdoor.Oldrea és a Trojan.Karagany trójai programokat (Remote Access Trojans – RAT). Az Oldrea hátsó ajtóként működik a támadók számára, amelynek segítségével kibonthatják az adatokat, és további kártevőket is telepíthetnek a fertőzött számítógépekre. A cég szerint vélhetően egyedi kártevő, amelyet a csoport kifejezetten magának írt vagy íratott. Ezzel ellentétben a Karagany megvásárolható volt a feketepiacon, első verziójának forráskódja 2010-ben került napvilágra. A Symantec véleménye szerint a Dragonfly mögött álló csoport megvásárolhatta a kódot, majd saját igényeinek megfelelően módosította.

A támadások az ellopott adatokat a támadók által irányított távoli command-and-control (C&C) szerverekre töltik fel, további kártevőket telepítenek, valamint futtatják a fertőzött gépeken lévő fájlokat. Emellett olyan bővítményeket is képesek futtatni, amelyek összegyűjtik a jelszavakat, screenshotokat készítenek, valamint katalogizálják a fertőzött gépek dokumentumait.

• a Dragonfly támadásának első fázisában adathalász e-mailekben kártevőket küldött a célba vett vállalatoknak. Ennek során főleg vezetőknek és magas beosztású alkalmazottaknak küldtek leveleket egy Gmail-fiókból, a tárgyban jellemzően az szerepelt, hogy „Számla” vagy „Szállítási probléma rendezése". Az e-mailek emellett egy fertőzött PDF csatolmányt is tartalmaztak
• a második fázisban watering hole támadásokat alkalmaztak az energiaszektor dolgozói által leginkább látogatott weboldalak feltöréséhez, amelyek exploit kiteket tartalmazó oldalakra irányították az áldozatokat. Ezek az exploit kitek továbbították a kártevőket az áldozatok számítógépeire, amelyek kihasználták a Java és az Internet Explorer sebezhetőségeit, majd telepítették a Backdoor.Oldrea vagy a Trojan.Karagany programot az áldozat számítógépére.
• az akció harmadik fázisában trójai programokat helyeztek el három vezérlőrendszereket gyártó vállalkozás eredeti, hivatalos szoftvercsomagjaiban, amelyek hosszabb-rövidebb ideig letölthetők voltak a támadott cégek weboldaláról

A Dragonfly támadásait valószínűleg egy állam támogathatta

A Dragonfly kiváló erőforrásokkal és a kártevők széles tárházával rendelkezik, többféle módszerrel is képes támadást indítani, és számos külső weboldalt is feltör az akció során. Erre alapozva a Symantec szakemberei úgy vélik, hogy magas fokú technikai megoldásai arra utalnak, hogy az akciót egy állam támogathatta.

A támadássorozat a Stuxnet nyomdokaiban halad, amely az első ismert ICS rendszereket célzó támadás volt. Miközben láthatunk hasonlóságokat a támadások mögötti motivációkban, úgy tűnik, hogy míg a Stuxnet vírust elsősorban szabotázsra tervezték, a Dragonfly célja elsősorban a kémkedés, és csak másodsorban a potenciális szabotázs – írja a Symantec elemzése.