Enerji sektörü başta olmak üzere, bir dizi hedefe karşı devam eden siber casusluk, saldırganların mağdurlara karşı sabotaj girişimlerinde bulunmalarına olanak sağlıyor. Bu saldırganlar, yani Symantec tarafından bilindiği şekliyle Dragonfly, casusluk amacıyla stratejik öneme sahip birtakım kuruluşlara sızmayı başardı, ve ayrıca ellerindeki sabotaj imkanlarını kullanmış olsalardı, etkilenen ülkelerdeki enerji dağıtımına zarar vermiş veya engellemiş olabilirdi.
Dragonfly'ın hedefleri arasında, enerji şebekesi operatörleri, önde gelen elektrik üretim şirketleri, petrol boru hattı operatörleri ve enerji endüstrisi endüstriyel ekipmanları sağlayıcıları yer alıyor. Mağdurların büyük bir çoğunluğu ABD, İspanya, Fransa, İtalya, Almanya, Türkiye ve Polonya'da bulunuyor.
Dragonfly grubu birtakım kötü amaçlı yazılım araçlarıyla geniş kaynaklara sahiptir ve çok sayıdaki farklı sektöre saldırılar düzenleyebilmektedir. Bu saldırının, uzaktan erişim türünde bir Trojan ile yazılımlara bulaşarak birtakım endüstriyel kontrol sistemleri (ICS) ekipmanları sağlayıcılarına sızması son derece hırslı olduğunu gösteriyor. Bu da şirketlerin, ICS ekipmanlarının yazılım güncellemelerini indirirken kötü amaçlı yazılımları da yüklemelerine neden oluyor. Bulaşan bu virüsler, hedeflenen kuruluşların ağlarında sadece kendilerine güvenli bir yer bulmalarına imkan tanımaz, ayrıca onlara virüs bulaşmış ICS bilgisayarlarına karşı saldırılar düzenlemelerine de imkan tanır.
Bu saldırı dizisi; ICS sistemlerini hedef aldığı bilinen ilk büyük kötü amaçlı yazılım olan Stuxnet'in izinden gidiyor. Stuxnet'in birinci hedefi İran nükleer programını sabote etmek olduğundan daha dar bir hedef gözetirken; Dragonfly, casusluğa ve gerektiğinde sabotaj yeteneğini kullanabilme seçeneğini de elinde bulundurarak kalıcı erişime odaklanmış daha geniş kapsamlı bir gruptur.
ICS yazılımına sızmanın yanı sıra, Dragonfly hedeflenen kuruluşlara sızmak için spam e-posta kampanyaları ve watering hole saldırılarını kullanıyor. Bu grup 2 ana kötü amaçlı yazılım aracı kullanıyor: Backdoor.Oldrea ve Trojan.Karagany. İlki, saldırganlar tarafından ya da saldırganlar için yazılmış özel bir kötü amaçlı yazılım gibi görünüyor.
Symantec, haberin yayınlanmasından önce mağdurları ve Computer Emergency Response Centers (CERTs) gibi ilgili ulusal yetkilileri İnternet güvenliği olaylarıyla ilgilenmeleri ve müdahale etmeleri için bilgilendirdi.
Arka plan
Dragonfly grubunun, diğer bayiler arasında bilinen adıyla Energetic Bear'ın, en azından 2011 yılından beri faaliyette olduğu görülüyor, ayrıca bu süreden çok daha uzun bir zamandır etkin olabilir. Dragonfly, 2013'ün başlarında odak noktasını Amerikalı ve Avrupalı enerji şirketlerine kaydırmadan önce Amerika ve Kanada'da bulunan savunma havacılık şirketlerini hedef alıyordu.
Avrupa ve Amerikalı enerji sektörlerine karşı yürütülen saldırı mücadelesi kapsamını hızlı bir şekilde genişletti. Grup en başta, hedefindeki şirketlerin çalışanlarına kimlik avı e-postalarında kötü amaçlı yazılım göndermekle işe başladı. Grup daha sonra, enerji sektöründe çalışanların ziyaret etmesi muhtemel saldırgan ve güvensiz web sitelerine, istismar seti sunan sitelere yönlendirmek maksadıyla Watering Hole saldırılarını da ekledi. İstismar seti bunun karşılığında mağdurun bilgisayarına kötü amaçlı yazılım gönderdi. Saldırının üçüncü evresi ise üç farklı ICS ekipmanı üreticisine ait yasal yazılım paketlerini Truva atlarına dönüştürmek oldu.
Dragonfly yüksek derecede teknik yeterlilik gösterdiğinden dolayı devlet destekli bir operasyonun özelliğini taşımaktadır. Grup, birden çok vektöre saldırı gerçekleştirme ve çok sayıda üçüncü parti web sitelerine sızma yeteneğine sahiptir. Dragonfly uzun bir süredir enerji sektöründeki birçok kuruluşu hedef almaktadır. Potansiyel sabotaj imkanıyla beraber, esas amacının casusluk olduğu görülüyor.
Saldırganlar tarafından kullanılan kötü amaçlı yazılımlardaki toplu zaman damgası incelemelerine göre grubun daha çok, UTC +4 zaman diliminde sabah 9'dan akşam 6'ya kadar dokuz saatlik bir zaman zarfında Pazartesi ile Cuma arasında etkin olduğu görülüyor. Bu bilgiye dayanarak, saldırganların büyük ihtimalle Doğu Avrupa'da olduğu düşünülüyor.
Şekil 1. Şu anda virüs bulaşmış ilk 10 ülke (Saldırganların virüslü bilgisayarlardan bilgi çaldıkları yerler)
Kullanılan araçlar
Dragonfly saldırılarında kötü amaçlı yazılımın iki ana parçasını kullanır. Her ikisi de, saldırganların ele geçirilmiş bilgisayarlara erişim ve kontrol imkanı sağlayan uzaktan erişim aracı (RAT) türünde kötü amaçlı yazılımlardır. Dragonfly'ın tercih ettiği kötü amaçlı yazılım aracı Backdoor.Oldrea'dır ve Havex ya da Energetic Bear RAT adıyla da bilinir. Oldrea, saldırganlar için mağdurların bilgisayarlarında bir arka kapı şeklinde çalışır böylece saldırganlar verileri çıkarabilir ve bir sonraki kötü amaçlı yazılımları yükleyebilirler.
Oldrea, ya grup tarafından ya da grup için yaratılmış özel bir kötü amaçlı yazılım gibi görünüyor. Bu durum Dragonfly grubunun yetenek ve kaynaklarının birer kanıtıdır.
Oldrea mağdurların bilgisayarına bir kez kurulduğunda dosya listesi, yüklenmiş programlar ve mevcut sürücülerin kökleriyle beraber sistem bilgisini toplar. Ayrıca bilgisayarın Outlook adres defteri ve VPN yapılandırma dosyalarından veri alabilir. Daha sonra bu veri, saldırganlar tarafından kontrol edilen uzaktan komut ve kontrol (C&C) sunucusuna gönderilmeden önce geçici bir dosyaya şifreli bir formatta yazılır.
C&C sunucularının büyük çoğunluğu, içerik yönetimi sistemlerini çalıştıran güvenlik açığı olan sunucularda barındırılıyor gibi görünüyor; bu sayede saldırganlar aynı istismar sayesinde her bir sunucunun kontrolünü ele geçirebilir. Oldrea'nın, kimliği doğrulanmış kullanıcıların her bir mağdurdan çaldıkları bilgilerin sıkıştırılmış sürümlerini indirmelerine imkan tanıyan basit bir kontrol paneli bulunmaktadır.
Dragonfly tarafından kullanılan ikinci ana araç ise Trojan.Karagany'dir. Oldrea'nın tersine Karagany yer altı pazarında bulunabiliyordu. Karagany'nin 1. sürümünün kaynak kodu 2010 yılında sızdırıldı. Symantec, Dragonfly'ın bu kaynak kodunu aldığını ve kendi amaçları doğrultusunda geliştirmiş olabileceğini düşünüyor. Symantec tarafında tespit edilen sürüm Trojan.Karagany!gen1'dir.
Karagany, virüs bulaşan bilgisayardan veri çalabilir, yeni dosyalar indirebilir ve yürütülebilir dosyaları çalıştırabilir. Aynı zamanda parola toplayan, ekran görüntüsü alan ve virüs bulaşan bilgisayarlarda belge kataloglayan diğer eklentileri de çalıştırabilir.
Symantec, saldırganlar tarafından sızılan bilgisayarların büyük çoğunluğuna Oldrea'nın bulaştığını tespit etti. Karagany'nin bulaşma oranı ise sadece yüzde 5 oranındadır. Bu iki kötü amaçlı yazılım fonksiyonellik açısından birbirleriyle benzerlik gösteriyor, ayrıca saldırganların bu yazılımları hangi nedenlerden ötürü birbirlerine tercih ettikleri bilinmiyor.
Çoklu saldırı vektörleri
Dragonfly grubu enerji sektöründeki hedeflerini saldırırken en az 3 virüs bulaştırma taktiği izliyor. En eski yöntem spam e-posta serileriydi; hedefteki şirketin belirli yöneticileri ve kıdemli çalışanlarına zararlı PDF eklentilerinin olduğu e-postalar gönderiliyordu. Virüs bulaşmış e-postaların 2 adet konu başlığı vardı: "The account" veya "Settlement of delivery problem". Tüm e-postalar aynı Gmail adresinden geliyordu.
Spam olayı 2013 Şubat ayında başlayarak 2013 Haziran ayına kadar devam etti. Bu olaylar sırasında Symantec yedi farklı kuruluşun hedef alındığını belirledi. Her kuruluşa gönderilen e-postalar 1'den 84'e kadar sıralanıyordu.
Saldırganlar daha sonra; enerji şirketleriyle alakalı bazı web sitelerine sızarak, ziyaretçilerin Lightsout istismar setini barındıran virüslü diğer yasal sitelere yönlendirilmesini sağlayan bir bilgi iletim birimi sayesinde Watering Hole saldırılarına odaklandılar. Lightsout, mağdurların bilgisayarlarına Oldrea veya Karagany'yi bırakmak için Java veya Internet Explorer'ı istismar eder. Operasyonun her aşamasında çok sayıda yasal web sitesine sızabilmeleri bu grubun teknik yeterlilik konusunda güçlü olduğuna dair ek bir kanıttır.
Eylül 2013'te Dragonfly bu istismar setinin Hello adında yeni bir sürümünü kullanmaya başladı. Bu setin açılış sayfası, sistemin parmak izini alan ve tarayıcılara yüklenmiş eklentileri belirleyen JavaScript içermektedir. Mağdur daha sonra, toplanan bilgilere göre en iyi istismar yöntemine karar veren bir URL'ye yönlendiriliyor.
Truva atına dönüştürülmüş yazılım
Dragonfly tarafından kullanılan en hırslı saldırı vektörü bazı yasal yazılım paketlerine sızmaktı. Üç farklı ICS ekipman sağlayıcısı hedef alınarak, kötü amaçlı yazılımlar sağlayıcıların web sitelerinden indirilmeye hazır yazılım paketlerine eklendi. Bu üç şirket de enerjinin de olduğu bazı endüstriyel alanlar için ekipman üretiyordu.
Truva atına dönüştürüldüğü tespit edilen ilk yazılım, programlanabilir akıllı kontrol türündeki cihazlara (PLC) VPN erişimi sağlayan bir üründü. Saldırının gerçekleşmesinden çok kısa bir süre sonra bayi bu saldırıyı fark etmesine rağmen virüslü yazılım 250 defa indirilmişti.
Sızılan ikinci şirket, bir Avrupalı uzman PLC cihazları üreticisiydi. Bu sefer, cihazlardan birine ait sürücüyü barındıran bir yazılım paketine sızıldı. Symantec, Truva atına dönüştürülmüş bu yazılımın 2013'ün Haziran ve Temmuz ayları arasında en az altı hafta boyunca indirilmeye hazır bulunduğu tahmin ediyor.
Saldırıya uğrayan üçüncü firma ise rüzgar türbinleri, biyogaz tesisleri ve diğer enerji altyapılarını yönetme sistemlerini geliştiren Avrupalı bir şirketti. Symantec virüslü yazılımın Nisan 2014'te on gün boyunca indirilmeye hazır bulunduğuna inanıyor.
Dragonfly grubu teknik alanda uzmandır ve stratejik düşünme yeteneğine sahiptir. Saldırdıkları hedeflerin büyüklüğüne bakıldığında; grubun, görece daha küçük ve daha az korunan tedarikçi şirketlerine sızmasıyla hedeflerinin zayıf noktasını bulduğu söylenebilir.
Koruma
Symantec müşterilerini bu saldırılarda kullanılan kötü amaçlı yazılımlara karşı korumak için aşağıdaki tespitlere sahiptir:
Antivirüs tespitleri
İzinsiz Giriş Engelleme İmzaları
Dragonfly saldırılarıyla ilgili daha fazla bilgi için lütfen raporumuzu okuyun