Uma campanha de ciberespionagem em andamento contra uma série de alvos, principalmente no setor de energia, deu capacidade aos atacantes de armar operações de sabotagem contra suas vítimas. Os atacantes, conhecidos pela Symantec como Dragonfly, conseguiram comprometer uma série de organizações de importância estratégica para fins de espionagem e, se tivessem utilizado as capacidades de sabotagem que se abriram para eles, poderiam ter causado danos ou interrompido o fornecimento de energia nos países afetados.
Entre os alvos do Dragonfly estavam operadores de redes de transmissão, grandes empresas geradoras de eletricidade, operadores de tubulação de petróleo, e fornecedores de equipamentos industriais para o setor de energia elétrica. A maioria das vítimas estava localizada nos Estados Unidos, Espanha, França, Itália, Alemanha, Turquia e Polônia.
O grupo Dragonfly tem muitos recursos e uma grande variedade de ferramentas de malware à disposição, e é capaz de lançar ataques através de diversos vetores diferentes. Sua ação mais ambiciosa chegou a comprometer uma série de fornecedores de equipamentos de sistema de controle industrial (ICS), infectando seus softwares com um tipo de Cavalo de Tróia (Trojan) de acesso remoto. Isso levou as empresas a instalar o malware ao baixar atualizações de software para computadores que rodavam equipamentos ICS, o que não apenas deu aos atacantes uma cabeça-de-ponte nas redes das organizações atacadas, mas também um meio de armar operações de sabotagem contra os computadores ICS infectados.
Essa campanha segue os passos do Stuxnet, que foi a primeira grande campanha conhecida dirigida a sistemas ICS. Enquanto o Stuxnet foi dirigido apenas ao programa nuclear iraniano e tinha a sabotagem como principal objetivo, o Dragonfly parece ter um foco muito mais amplo, com espionagem e acesso persistente como objetivo atual e sabotagem como uma capacidade opcional, caso necessária.
Além de comprometer softwares ICS, o Dragonfly utilizou também campanhas de e-mail de spam e ataques watering hole para infectar as organizações alvo. O grupo utilizou duas ferramentas principais de malware: Backdoor.Oldrea e Trojan.Karagany. O primeiro parece ser um tipo de malware customizado, escrito por ou para os atacantes.
Antes da publicação, a Symantec notificou as vítimas afetadas e autoridades nacionais pertinentes, incluindo os Centros de Resposta a Emergências de Informática (CERTs) que administram e respondem a incidentes de segurança da Internet.
Histórico
O grupo Dragonfly, também conhecido por outros fornecedores como Energetic Bear, parece estar em operação pelo menos desde 2011, e pode estar ativo por ainda mais tempo. Ele incialmente atacava empresas de defesa e aviação nos EUA e Canadá antes de mudar seu foco principalmente para empresas de energia dos EUA e Europa no começo de 2013.
A campanha contra o setor energético europeu e americano rapidamente aumentou em termos de escopo. O grupo inicialmente começou a enviar malware em e-mails de phishing para funcionários das empresas alvo. Mais tarde, o grupo acrescentou ataques watering hole a sua ofensiva, comprometendo sites que provavelmente seriam visitados por pessoas que trabalham com energia, para redirecioná-los a sites que hospedavam um kit de exploração. O kit de exploração, então, entregava o malware ao computador da vítima. A terceira fase da campanha foi Troianizar pacotes de softwares legítimos de três fabricantes diferentes de ICS.
O Dragonfly traz as características de uma operação patrocinada pelo estado, apresentando um alto grau de capacidade técnica. O grupo é capaz de armar ataques através de vetores múltiplos e de comprometer diversos sites de terceiros no processo e teve múltiplas organizações no setor energético como alvo durante um longo período. Seu principal motivo atual parece ser ciberespionagem, com a capacidade secundária potencial para sabotagem.
A análise da compilação dos carimbos de data e hora do malware utilizado pelos atacantes indica que o grupo trabalhou mais entre segunda e sexta-feira, com atividades concentradas principalmente em um período de nove horas que corresponde ao horário comercial de 9:00 a 18:00 horas no fuso horário UTC +4. Com base nesta informação, é provável que os atacantes estejam baseados no Leste Europeu.
Figura. 10 principais países por infecções ativas (onde atacantes roubaram informações de computadores infectados)
Ferramentas empregadas
O Dragonfly utiliza dois tipos de malware principais em seus ataques. Ambos são malware do tipo ferramenta de acesso remoto (RAT) que dá aos atacantes acesso e controle sobre os computadores comprometidos. A ferramenta de preferência do Dragonfly é Backdoor.Oldrea, também conhecido como Havez ou Energetic Bear RAT. O Oldrea age como uma porta dos fundos para os atacantes entrarem no computador da vítima, permitindo que extraiam dados e instalem mais malwares. Ele parece ser um malware customizado, escrito pelo próprio grupo ou criado para ele. Isso oferece uma indicação das capacidades e recursos por trás do grupo Dragonfly.
Uma vez instalado no computador da vítima, o Oldrea coleta informações do sistema, além de listas de arquivos, programas instalados e a raiz dos discos disponíveis. Ele também extrai dados da agenda de endereços do Outlook e arquivos de configuração VPN. Estes dados são então escritos em um arquivo temporário em um formato criptografado antes de serem enviado a um servidor remoto comando-e-controle (C&C) utilizado pelos atacantes.
A maioria dos servidores C&C parece estar hospedada em servidores comprometidos rodando sistemas de gerenciamento de sistema, o que indica que os atacantes podem ter usado a mesma exploração para obter controle de cada servidor. O Oldrea tem um painel de controle básico que permite que um usuário autenticado baixe uma versão comprimida dos dados roubados para cada vítima em particular.
A segunda principal ferramenta utilizada pelo Dragonfly é o Trojan.Karagany. Ao contrário do Oldrea, o Karagany está disponível no mercado clandestino. O código fonte para a versão 1 do Karagany vazou em 2010 e a Symantec acredita que o Dragonfly pode ter pegado este dado e modificado para uso próprio. A versão identificada pela Symantec é Trojan.Karagany!gen1.
O Karagany é capaz de carregar dados roubados, baixar novos arquivos e rodar arquivos executáveis em um computador infectado. Também é capaz de rodar plug-ins adicionais, como ferramentas para coletar senhas, capturar imagens de telas e catalogar documentos nos computadores infectados.
A Symantec observou que a maioria dos computadores comprometidos pelos atacantes foi infectada com o Oldrea. O Karagany só foi utilizado em cerca de 5% das infecções. Os dois tipos de malware são semelhantes em funcionalidade e o que leva os atacantes a optar por uma ferramenta e não a outra continua desconhecido.
Múltiplos vetores de ataque
O grupo Dragonfly utilizou pelo menos três táticas de infecção contra os alvos no setor energético. O método inicial era uma campanha de e-mails de spam, onde executivos e funcionários sênior selecionados das empresas alvo receberam e-mails contendo um anexo PDF malicioso. Os e-mails infectados traziam uma destas duas linhas de assunto: “A conta” ou “Conclusão do problema de entrega”. Todos os e-mails eram provenientes de um único endereço do Gmail.
A campanha de spam começou em fevereiro de 2013 e continuou até junho de 2013. A Symantec identificou sete organizações diferentes como principais alvos. O número de e-mails enviados para cada organização variou de um a 84.
Os atacantes, então, mudaram o foco para ataques watering hole, constando em um número de sites relativos a energia e injetando um iframe em cada um, que redirecionava os visitantes para outro site legítimo comprometido que hospedava o kit de exploração Lightsout. O Lightsout explora o Java ou o Internet Explorer para soltar o Oldrea ou Karagany no computador da vítima. O fato de os atacantes terem comprometido diversos sites legítimos para cada etapa da operação comprova que o grupo possui fortes capacidades técnicas.
Em setembro de 2013, o Dragonfly começou a usar uma nova versão deste kit de exploração, conhecida como kit de exploração Hello. A página inicial para este kit contem JavaScript, que rastreia o sistema, identificando os plug-ins de navegação instalados. A vítima então é redirecionada a uma URL que, então, determina a melhor exploração para utilizar com base nas informações coletadas.
Software Troianizado
O vetor de ataque mais ambicioso utilizado pelo Dragonfly foi o comprometimento de uma série de pacotes de software legítimos. Três diferentes fornecedores de equipamentos ICS foram alvo e o malware foi inserido nos pacotes de software que eles disponibilizaram para download em seus sites. As três empresas fazem equipamentos utilizados em uma série de setores industriais, inclusive o de energia.
O primeiro software Troianizado identificado foi um produto utilizado para fornecer acesso VPN a aparelhos do tipo controlador lógico programável (PLC). O fornecedor descobriu o ataque pouco depois de ter sido armado, mas 250 downloads únicos do software comprometido já haviam sido efetuados.
A segunda empresa comprometida foi uma fabricante europeia de aparelhos PLC especializados. Neste caso, um pacote de software contendo um driver para um dos seus aparelhos foi comprometido. A Symantec estima que o software Troianizado ficou disponível para download por pelo menos seis semanas entre junho e julho de 2013.
A terceira empresa atacada foi uma empresa europeia que desenvolve sistemas para gerenciar turbinas eólicas, plantas de biogás, e outras infraestruturas energéticas. A Symantec acredita que o software comprometido possa ter ficado disponível para download por pelo menos dez dias em abril de 2014.
O grupo Dragonfly é tecnicamente hábil e capaz de pensar de forma estratégica. Considerando-se o tamanho de alguns de seus alvos, o grupo encontrou um ponto vulnerável ao comprometer seus fornecedores, que são invariavelmente empresas menores e menos protegidas.
Proteção
A Symantec dispõe das seguintes detecções, implementadas para proteger clientes que rodam versões atualizadas de nossos produtos contra o malware utilizado nestes ataques:
Detecção de Antivírus
Assinaturas de Prevenção Contra Intrusão
Para mais detalhes técnicos sobre os ataques do Dragonfly, leiam nosso relatório.