Une campagne de cyber-espionnage ciblant différentes entreprises, principalement dans le secteur de l'énergie, a permis à un groupe de cybercriminels de monter des opérations de sabotage contre leurs victimes. Ce groupe, que Symantec a nommé Dragonfly, a réussi à infiltrer plusieurs organisations stratégiques pour y mener des actions d'espionnage. Et s'il avait mené les opérations de sabotage dont il est capable, le groupe aurait pu endommager ou perturber les réseaux de distribution d'énergie dans les pays affectés.
Parmi les cibles de Dragonfly figuraient des opérateurs de réseaux de distribution d'énergie, de grands groupes de production d'électricité, des exploitants de pipelines de pétrole et des fournisseurs d'équipements industriels pour le secteur de l'énergie. La plupart des victimes se trouvaient dans les pays suivants : États-Unis, Espagne, France, Italie, Allemagne, Turquie et Pologne.
Le groupe Dragonfly dispose de ressources financières solides et d'une grande variété d'outils et de programmes malveillants avec lesquels il est capable de lancer des attaques par le biais de différents vecteurs. Lors de sa campagne la plus ambitieuse, il a réussi à compromettre plusieurs fournisseurs d'équipements de systèmes de contrôle industriel (ICS, Industrial Control System), en infectant leur logiciel avec un cheval de Troie d'accès à distance. C'est en téléchargeant les mises à jour de ce logiciel sur les ordinateurs qui exécutaient un ICS que les entreprises ont installé le programme malveillant. Non seulement ces infections permettent aux attaquants d'établir une "tête de pont" sur le réseau des entreprises cibles, mais elles leur donnent également les moyens de monter des opérations de sabotage contre les ordinateurs ICS infectés.
Cette campagne est dans le sillage de l'attaque Stuxnet, première campagne de grande envergure connue ayant ciblé les systèmes ICS. Alors que Stuxnet ciblait essentiellement le programme nucléaire iranien et que son principal objectif était le sabotage, Dragonfly a une portée beaucoup plus large avec l'espionnage et l'accès permanent comme objectifs actuels et le sabotage comme une autre action possible en cas de besoin.
Outre le fait qu'il ait compromis des logiciels ICS, Dragonfly a également utilisé des campagnes de spam et des attaques de type "watering hole" pour infecter les entreprises ciblées. Le groupe a plus particulièrement utilisé les deux programmes malveillants suivants : Backdoor.Oldrea et Trojan.Karagany. Le premier est un programme malveillant personnalisé, écrit par ou pour les attaquants.
Avant sa publication, Symantec avait informé les victimes affectées et les autorités nationales concernées, telles que les centres nationaux de dépannage informatique d'urgence (Computer Emergency Response Centers, CERT) qui prennent en charge les incidents de sécurité Internet.
Contexte
Le groupe Dragonfly, également appelé Energetic Bear par d'autres éditeurs de solutions de sécurité, est apparu en 2011 et il est même possible qu'il ait été actif avant. Au départ, Dragonfly ciblait des entreprises du secteur de la défense et de l'aviation aux Etats-Unis et au Canada avant de changer de cible et de s'attaquer principalement aux entreprises du secteur de l'énergie aux États-Unis et en Europe début 2013.
La campagne contre les acteurs de l'énergie européens et américains a vite pris de l'ampleur. Le groupe a commencé par envoyer des programmes malveillants aux employés des entreprises ciblées par le biais de messages électroniques de phishing. Par la suite, le groupe a ajouté des attaques de type "watering hole", compromettant des sites Web susceptibles d'être visités par les personnes travaillant dans le secteur de l'énergie pour les rediriger vers des sites Web hébergeant un kit d'exploitation. Ce kit d'exploitation, à son tour, installait un programme malveillant sur l'ordinateur de la victime. La troisième phase de la campagne faisait intervenir un cheval de Troie discrètement inséré dans les packages logiciels de trois fabricants de systèmes de contrôle industriel différents.
Dragonfly porte la marque d'une opération sponsorisée par un état, affichant un niveau très élevé de technicité. Le groupe est capable de lancer des attaques par le biais de plusieurs vecteurs et de compromettre de nombreux sites Web tiers au passage. Dragonfly a ciblé de nombreuses entreprises du secteur de l'énergie sur une longue période. Sa motivation principale semble être le cyber-espionnage, mais il ne faut pas écarter l'éventualité d'une opération de sabotage en deuxième intention.
D'après les horodatages des programmes malveillants utilisés par les attaquants, le groupe travaillerait principalement du lundi au vendredi, avec une activité concentrée sur une période de neuf heures correspondant à une journée de travail de 9h00 à 18h00 (zone UTC +4). Il est donc probable que les cybercriminels agissant pour se groupe soient basés en Europe de l'Est.
Figure. Les 10 premiers pays par infections actives (où les attaquants ont volé des informations sur des ordinateurs infectés)
Outils utilisés
Dragonfly utilise principalement deux programmes malveillants dans ses attaques. Tous deux sont des outils d'accès à distance permettant aux cybercriminels d'accéder à des ordinateurs infectés et d'en prendre le contrôle. Le programme malveillant privilégié de Dragonfly s'appelle Backdoor.Oldrea (ses autres noms sont Havex ou Energetic Bear RAT). Oldrea agit comme une porte dérobée par laquelle les attaquants accèdent à l'ordinateur de la victime pour extraire des données et installer d'autres programmes malveillants.
Oldrea est un programme malveillant personnalisé qui a été créé par le groupe ou écrit pour lui. On imagine alors les capacités et les ressources derrière le groupe Dragonfly.
Une fois installé sur l'ordinateur de la victime, Oldrea récupère des informations système, ainsi que des listes de fichiers, des programmes installés et la racine des disques disponibles. Il va également extraire le carnet d'adresses Outlook de l'ordinateur et les fichiers de configuration du VPN. Ces données sont ensuite écrites dans un fichier temporaire dans un format chiffré avant d'être envoyées vers un serveur de commande et de contrôle (C&C) distant contrôlé par les attaquants.
La plupart de ces serveurs de commande et de contrôle semblent être hébergés sur des serveurs compromis qui exécutent des systèmes de gestion de contenu, indiquant que les attaquants pourraient avoir utilisé le même kit d'exploitation pour prendre le contrôle de chacun des serveurs. Oldrea dispose d'un panneau de contrôle élémentaire qui permet à un utilisateur authentifié de télécharger une version compressée des données volées pour chaque victime.
Le deuxième outil principalement utilisé par Dragonfly est Trojan.Karagany. Contrairement à Oldrea, Karagany était disponible au marché noir sur Internet. Le code source de la version 1 de Karagany a été divulgué en 2010. Symantec pense que Dragonfly aurait récupéré ce code source et l'aurait adapté à son propre usage. Cette version est détectée par Symantec sous la forme Trojan.Karagany!gen1.
Karagany est capable de charger des données volées, de télécharger de nouveaux fichiers et de lancer des fichiers exécutables sur un ordinateur infecté. Il est également capable d'exécuter des plug-ins supplémentaires, tels que des outils permettant de collecter des mots de passe, de réaliser des captures d'écran et de cataloguer des documents sur des ordinateurs infectés.
Symantec a découvert que la majorité des ordinateurs touchés étaient infectés avec Oldrea. Karagany n'était utilisé que dans 5 % des cas d'infections. Ces deux programmes malveillants ont le même type de fonctionnement et on ne sait toujours pas pourquoi les attaquants choisissent plutôt l'un que l'autre.
Plusieurs vecteurs d'attaque
Le groupe Dragonfly a utilisé au moins trois méthodes d'infection contre différentes cibles du secteur de l'énergie. La méthode utilisée au départ fût une campagne de spam. A ce moment-là, certains dirigeants et cadres (cibles de l'attaque) ont reçu des messages électroniques qui contenaient un PDF malveillant en pièce jointe. Les messages infectés comportaient une ou deux lignes Objet : "The account" ou "Settlement of delivery problem". L'ensemble des messages provenaient de la même adresse Gmail.
La campagne de spam commença en février 2013 et se poursuivit jusqu'en juin 2013. Symantec identifia sept entreprises différentes cibles de cette campagne. Chacune de ces entreprises reçut entre 1 et 84 messages électroniques.
Par la suite, les attaquants ont utilisé une autre méthode avec les attaques de type "watering hole". Cette méthode consistait à injecter un iframe (élément de navigation) dans les sites Web de certaines entreprises du secteur de l'énergie pour rediriger les visiteurs vers un autre site Web légitime compromis hébergeant le kit d'exploitation Lightsout. Lightsout exploite Java ou Internet Explorer pour installer Oldrea ou Karagany sur l'ordinateur de la victime. Pour nous, le fait que les attaquants aient compromis de nombreux sites légitimes à chaque stade de l'opération est une preuve de la très grande capacité technique du groupe.
En septembre 2013, Dragonfly a commencé à utiliser une nouvelle version de ce kit d'exploitation appelé Hello. La page de renvoi de ce kit contient du JavaScript qui permet d'identifier le système et les plug-ins de navigateur installés. La victime est ensuite redirigée vers une URL qui, à son tour, va déterminer le meilleur exploit à utiliser en fonction des informations collectées.
Logiciels transformés en chevaux de Troie
Le vecteur d'attaque le plus ambitieux utilisé par Dragonfly a consisté à compromettre plusieurs logiciels légitimes. Trois fournisseurs d'équipements de systèmes de contrôle industriel ont été ciblés et des programmes malveillants introduits dans les packages logiciels qu'ils avaient mis à disposition de leurs utilisateurs sur leurs sites Internet. Ces trois entreprises fabriquaient des équipements utilisés dans plusieurs secteurs industriels, notamment celui de l'énergie.
Le premier logiciel transformé en cheval de Troie était un produit utilisé pour fournir un accès VPN à des périphériques de type contrôleurs de logique programmables (PLC). L'éditeur découvrit l'attaque peu de temps après son lancement, mais 250 téléchargements uniques de logiciels compromis avaient déjà été réalisés.
La deuxième entreprise victime d'une attaque similaire était un fabricant européen de contrôleurs PLC. Dans ce cas, un package logiciel contenant un pilote pour l'un de ses contrôleurs était compromis. Symantec estime que le logiciel transformé en cheval de Troie est resté disponible au téléchargement pendant au moins six semaines entre juin et juillet 2013.
La troisième entreprise victime d'une attaque était une entreprise européenne qui développe des systèmes de gestion des éoliennes, des centrales de production de biogaz et d'autres infrastructures énergétiques. Symantec pense que le logiciel compromis est sans doute resté disponible au téléchargement pendant une dizaine de jours en avril 2014.
Le groupe Dragonfly est très fort techniquement et capable d'élaborer des stratégies d'attaques. Étant donné la taille de certaines de ses cibles, le groupe a préféré s'attaquer à une cible plus facile en infectant leurs fournisseurs : des entreprises beaucoup plus petites et bien moins protégées.
Protection
Symantec a mis en place les détections suivantes qui protègeront les clients des programmes malveillants utilisés dans ces attaques :
Détections antivirus
Signatures de prévention d'intrusion
Pour obtenir plus de détails sur les attaques de Dragonfly, lisez notre livre blanc.