В ходе непрерывной кампании кибершпионажа, направленной главным образом на предприятия энергетического сектора, злоумышленники получили возможность для совершения диверсионных действий. Атакующие, известные в Symantec как группа Dragonfly, проникли в стратегически важные организации с целью шпионажа, тем самым продемонстрировав свои потенциальные возможности для повреждения или дестабилизации систем энергоснабжения нескольких стран.
Мишенью Dragonfly стали операторы энергосистем, крупнейшие компании-производители электроэнергии, операторы нефтепроводов и поставщики энергетического оборудования. Большая часть этих компаний расположена в США, Испании, Франции, Италии, Германии, Турции и Польше.
Группа Dragonfly располагает мощной ресурсной базой, разнообразными инструментами для создания вредоносных программ и механизмами распространения атак. В результате самой амбициозной кампании шпионажа злоумышленникам удалось внедрить вредоносные троянские компоненты в промышленные системы управления (ICS) поставщиков оборудования для получения удаленного доступа. Установка вредоносных программ осуществлялась в процессе загрузки обновлений программного обеспечения на компьютеры, подключенные к оборудованию ICS. В результате заражения злоумышленники получили не только доступ к сетям взломанных организаций, но и возможность проведения диверсионных действий на зараженных компьютерах ICS.
Данная кампания идет по стопам Stuxnet — первой широкомасштабной кампании вредоносного кода, направленной на системы ICS. Однако если угроза Stuxnet была направлена исключительно на саботаж ядерного проекта Ирана, то Dragonfly преследует намного более далеко идущие цели. Вслед за первоначальными задачами Dragonfly — кибершпионажем и удаленным доступом — могут последовать диверсионные акции.
Помимо взлома программного обеспечения ICS, группа Dragonfly использовала кампании спама в электронной почте и атаки типа «хищник у водопоя» для заражения выбранных компаний. В основном группа использовала два инструмента вредоносного кода: Backdoor.Oldrea и Trojan.Karagany. Последний представляет собой вредоносную программу, специально разработанную хакерами или по заказу хакеров.
Перед публикацией статьи компания Symantec отправила соответствующее уведомление возможным жертвам и уполномоченным органам государственной власти, в том числе группам Computer Emergency Response Center (CERT), которые обеспечивают быстрое реагирование на инциденты нарушения безопасности в Интернете.
Краткая информация
Группа Dragonfly, также носящая название Energetic Bear, известна с 2011 года, но, возможно, хронология ее деятельности уходит еще дальше. До начала 2013 года основной мишенью Dragonfly были предприятия оборонной и авиационной промышленности США и Канады, после чего злоумышленники переключились на американские и европейские энергетические компании.
Кампания, направленная на энергетический сектор Европы и США, быстро набрала обороты. Вначале группа рассылала электронные сообщения фишинга, содержащие вредоносный код, персоналу целевых организаций. Позднее на веб-сайты, популярные среди специалистов в области энергетики, были добавлены атаки типа «хищник у водопоя» с целью перенаправления посетителей на веб-сайты, содержащие уязвимости. Эти уязвимости обеспечивали установку вредоносных программ на компьютеры жертв. На третьем этапе кампании в легальное программное обеспечение, принадлежащее трем производителям оборудования ICS, были внедрены троянские компоненты.
Высокий уровень технических возможностей свидетельствует о том, что деятельность Dragonfly имела поддержку на государственном уровне. В атаках группы задействовано множество каналов распространения и сторонних веб-сайтов. За это время мишенью Dragonfly стало множество организаций энергетического сектора. Очевидно, что главным мотивом Dragonfly следует считать кибершпионаж, а саботаж — его дополнительной потенциальной выгодой.
По результатам анализа отметок времени компиляции вредоносного ПО, применяемого злоумышленниками, было установлено, что группа работала в основном в будни в пределах 9-часового интервала, соответствующего рабочей смене с 9:00 до 18:00 в часовом поясе UTC +4. Это дает основание предположить, что атакующие находятся в Восточной Европе.
Рисунок 1. 10 основных стран по числу зараженных систем, используемых для кражи информации
Инструменты атак
В своих атаках группа Dragonfly использует в основном две вредоносные программы. Они относятся к средствам удаленного доступа (RAT), которые обеспечивают злоумышленникам доступ к зараженным компьютерам и возможность контроля над ними. Излюбленным средством Dragonfly для удаленного доступа является инструмент Backdoor.Oldrea, известный также как Havex или Energetic Bear. Oldrea открывает «черный ход» на компьютер жертвы, предоставляя атакующим возможность украсть данные и установить дополнительные вредоносные программы.
Oldrea относится к специализированным средствам, разработанным самой группой или по ее заказу. Эти факты позволяют оценить возможности и ресурсы, которыми располагают специалисты Dragonfly.
После установки на компьютере жертвы Oldrea выполняет сбор системной информации, составляет списки файлов, установленных программ и доступных жестких дисков. Кроме того, Oldrea извлекает данные из адресной книги Outlook и файлов конфигурации VPN. Затем данные записываются во временный файл и в зашифрованном виде передаются на сервер удаленного управления, контролируемый злоумышленниками.
Большинство серверов C&C расположены на взломанных серверах, на которых установлены системы управления информацией; это указывает на то, что атакующие могли использовать одну и ту же уязвимость для получения контроля над всеми серверами. Oldrea имеет базовую панель управления, с помощью которой идентифицированный пользователь может загрузить сжатую версию данных, украденных с любого отдельного компьютера жертвы.
Второй по частоте использования инструмент Dragonfly — Trojan.Karagany. В отличие от Oldrea, инструмент Karagany можно было приобрести на черном рынке. В 2010 году произошла утечка исходного кода первой версии Karagany. По мнению Symantec, группа Dragonfly могла модифицировать этот код для своих задач. Эта версия была идентифицирована Symantec как Trojan.Karagany!gen1.
Karagany поддерживает передачу украденных данных, загрузку новых файлов и запуск исполняемых файлов на зараженных компьютерах. Кроме того, Karagany позволяет запускать дополнительные модули, например средства сбора паролей, создания снимков экрана, каталогизации документов на зараженных компьютерах и т. п.
Компания Symantec установила, что большинство компьютеров, атакованных Dragonfly, были заражены Oldrea. На Karagany приходится лишь около 5 % от общего числа заражений. Эти две разновидности вредоносного ПО имеют схожие функциональные возможности, поэтому причины выбора того или иного инструмента в каждом конкретном случае пока неизвестны.
Направления атак
Известны по крайней мере три механизма, которые использовались группой Dragonfly для заражения компаний энергетической отрасли. Самый ранний метод — кампания почтового спама, которая заключалась в рассылке электронных писем, содержащих вредоносные вложения в формате PDF отдельным руководящим лицам и специалистам целевых компаний. Строка темы зараженных электронных писем содержала следующую информацию: «The account» или «Settlement of delivery problem». Все электронные письма были отправлены с одного адреса Gmail.
Кампания спама проводилась с февраля по июнь 2013 года. Symantec удалось обнаружить несколько организаций, выбранных в качестве мишени атаки. В каждую организацию было отправлено от 1 до 84 электронных писем.
Затем злоумышленники перешли к атакам «хищник у водопоя» с целью взлома и заражения определенных веб-сайтов, имеющих отношение к энергетической отрасли, для дальнейшего перенаправления посетителей на другой зараженный законный веб-сайт, содержащий уязвимость Lightsout. Lightsout использует Java или Internet Explorer для внедрения инструмента Oldrea или Karagany на компьютер жертвы. Большое количество зараженных законных веб-сайтов на каждом этапе атаки еще раз доказывает наличие у группы мощных технических возможностей.
В сентябре 2013 года группа Dragonfly перешла к новой версии комплекта уязвимостей, известной под названием Hello. Целевая страница этого комплекта содержит код JavaScript, который снимает отпечаток системы для обнаружения установленных модулей браузера. Затем жертва перенаправляется на веб-сайт, который на основе собранной информации выбирает самую эффективную уязвимость.
Троянское программное обеспечение
Самые амбициозные атаки Dragonfly были направлены на заражение различных законных пакетов ПО. Dragonfly удалось внедрить вредоносный код в комплекты ПО, доступные для загрузки с веб-сайтов трех поставщиков оборудования ICS. Оборудование, производимое этими компаниями, применяется в различных отраслях промышленности, в том числе в энергетике.
Первым было выявлено троянское программное обеспечение, применяемое для доступа к устройствам на базе программируемого логического контроллера (PLC) через VPN. Производителю удалось быстро обнаружить атаку, однако к этому времени зараженный комплект ПО был загружен уже 250 раз.
Во втором случае атака была направлена на европейского производителя специализированных устройств PLC. При этом зараженным оказался пакет ПО, содержащий драйвер для одного из устройств. По данным Symantec программа с троянским компонентом была доступна для загрузки по меньшей мере в течение шести недель в июне-июле 2013 года.
Третьей мишенью стала европейская компания, разрабатывающая системы управления ветрогенераторами, биогазовыми установками и прочими элементами энергетической инфраструктуры. По расчетам Symantec зараженное программное обеспечение могло быть доступно для загрузки в течение десяти дней в апреле 2014 года.
Группа Dragonfly отличается высокой технической подготовкой и стратегическим мышлением. В качестве мишени группа выбрала менее защищенные компании небольшого размера как самое уязвимое место инфраструктуры.
Защита
Для защиты клиентов Symantec имеет следующие возможности обнаружения вредоносных программ, применяемых в перечисленных выше атаках:
Сигнатуры вирусов
Сигнатуры вторжений
Более подробная техническая информация об атаках Dragonfly приведена в справочном документе