Wymierzona w szereg firm, głównie z sektora energetycznego, trwająca kampania szpiegostwa komputerowego umożliwiła atakującym zorganizowanie działań sabotażowych skierowanych przeciwko ich ofiarom. Agresorom, znanym firmie Symantec jako Dragonfly, udało się złamać zabezpieczenia wielu organizacji istotnych pod względem strategicznym w celu wykorzystania ich do szpiegowania. Gdyby zastosowali techniki sabotażowe, którymi dysponują, mogliby spowodować awarie lub przerwy w dostawie energii w zaatakowanych krajach.
Wśród celów Dragonfly znaleźli się operatorzy sieci energetycznych, duże elektrownie, operatorzy rurociągów naftowych oraz dostawcy sprzętu przemysłowego dla firm z branży energetycznej. Większość ofiar ma swoje siedziby w Stanach Zjednoczonych, Hiszpanii, Francji, Włoszech, Niemczech, Turcji i Polsce.
Grupa Dragonfly jest bardzo dobrze wyposażona — dysponuje szeregiem złośliwych narzędzi i może przypuszczać ataki wieloma różnymi kanałami. Najbardziej zaawansowany atak grupy doprowadził do złamania zabezpieczeń wielu dostawców sprzętu do przemysłowych systemów sterowania (industrial control system, ICS), co spowodowało zainfekowanie udostępnianego przez nich oprogramowania koniem trojańskim o dostępie zdalnym. W wyniku tego ataku firmy instalowały złośliwe oprogramowanie wraz z aktualizacjami pobieranymi na komputery obsługujące taki sprzęt. Zainfekowane komputery nie tylko zapewniły włamywaczom przyczółek w sieciach atakowanych organizacji, lecz także dostarczyły im środków umożliwiających zorganizowanie akcji sabotażowych przeciwko zainfekowanym komputerom ICS.
Ta kampania stanowi powtórzenie działań Stuxnet, pierwszej znanej dużej kampanii przeciwko systemom ICS, która korzystała ze złośliwego oprogramowania. Jednakże, podczas gdy głównym celem akcji Stuxnet było sabotowanie irańskiego programu nuklearnego, zakres działań Dragonfly jest dużo szerszy i obejmuje przede wszystkim szpiegowanie oraz możliwość stałego dostępu, a sabotaż jest jedynie możliwością opcjonalną do wykorzystania w razie potrzeby.
Poza łamaniem zabezpieczeń oprogramowania ICS do infekowania atakowanych organizacji członkowie grupy Dragonfly używają spamu rozsyłanego pocztą elektroniczną oraz ataków typu „watering hole”. Grupa korzysta z dwóch głównych złośliwych narzędzi: Backdoor.Oldrea i Trojan.Karagany. Pierwsze z nich jest najprawdopodobniej niestandardowym programem destrukcyjnym napisanym przez samych agresorów lub specjalnie dla nich.
Przed opublikowaniem informacji firma Symantec poinformowała ofiary ataków i odpowiednie władze krajowe, takie jak centra Computer Emergency Response Center (CERT), które zajmują się incydentami związanymi z bezpieczeństwem w Internecie i reagowaniem na nie.
Informacje podstawowe
Grupa Dragonfly, która przez innych dostawców jest także nazywana Energetic Bear, działa prawdopodobnie od roku 2011, a możliwe, że dużo dłużej. Na początku atakowała firmy z sektora obronnego i lotniczego w Stanach Zjednoczonych i Kanadzie, po czym na początku roku 2013 skoncentrowała się głównie na amerykańskich i europejskich firmach z branży energetycznej.
Zakres kampanii skierowanych przeciwko nim szybko się poszerzał. Najpierw grupa rozsyłała do ich pracowników złośliwe oprogramowanie w wiadomościach e-mail typu „phishing”. Następnie umieściła ataki typu „watering hole” w zainfekowanych witrynach odwiedzanych przez pracowników sektora energetycznego, które miały na celu przekierowanie ich do witryn zawierających zestaw mechanizmów wykorzystywania luk. Ten z kolei instalował destrukcyjny program na komputerach ofiar. Trzeci etap kampanii polegał na zainfekowaniu końmi trojańskimi legalnych pakietów oprogramowania udostępnianych przez trzech różnych producentów sprzętu ICS.
Grupa Dragonfly ma cechy operacji sponsorowanej przez państwo — charakteryzuje się bardzo wysokimi umiejętnościami technicznymi. Jest w stanie przypuszczać ataki wieloma kanałami i łamać przy tym zabezpieczenia wielu witryn obsługiwanych przez podmioty zewnętrzne. W długim okresie zaatakowała wiele organizacji z sektora energetycznego. Wydaje się, że jej głównym motywem jest szpiegostwo komputerowe, a konkretnym celem dodatkowym — możliwość przeprowadzania akcji sabotażowych.
Analiza sygnatur czasowych użytych przez włamywaczy kompilacji złośliwych programów wykazała, że grupa działała głównie od poniedziałku do piątku, z największą intensywnością w okresie dziewięciogodzinnym odpowiadającym godzinom pracy 9:00–16:00 w strefie czasowej UTC +4. Na tej podstawie można przyjąć, że atakujący znajdują się prawdopodobnie w Europie Wschodniej.
Rysunek 1. 10 krajów z największą liczbą aktywnych infekcji (gdzie atakujący wykradli informacje z zainfekowanych komputerów)
Użyte narzędzia
Dragonfly stosuje w swoich atakach dwa główne złośliwe programy. Oba są narzędziami do uzyskiwania dostępu zdalnego (remote access tool, RAT), które umożliwiają atakującym przejęcie kontroli nad zainfekowanymi komputerami. Ulubionym narzędziem grupy jest Backdoor.Oldrea, znany też jako Havex lub Energetic Bear RAT. Działa ono jako tylne wejście wpuszczające włamywaczy do komputera ofiary i umożliwiające im pobranie danych oraz zainstalowanie kolejnych destrukcyjnych programów.
Najprawdopodobniej jest to program niestandardowy, napisany przez samą grupę lub utworzony przez kogoś innego specjalnie dla niej. Stanowi to pewną wskazówkę świadczącą o możliwościach i zasobach, jakimi dysponuje Dragonfly.
Po zainstalowaniu na komputerze ofiary Oldrea zbiera informacje o systemie obejmujące listę plików, zainstalowane programy oraz katalog główny dostępnych napędów. Pobiera również dane z książki adresowej programu Outlook i pliki konfiguracyjne sieci VPN. Zebrane dane są zapisywane w pliku tymczasowym w formacie szyfrowanym, a następnie wysyłane do kontrolowanego przez atakujących zdalnego serwera dowodzenia i sterowania.
Większość takich serwerów jest najprawdopodobniej hostowana na zainfekowanych serwerach obsługujących systemy zarządzania treścią, co świadczy o tym, że agresorzy zapewne przejęli nad nimi kontrolę przy użyciu tych samych mechanizmów wykorzystywania luk. Oldrea ma podstawowy panel sterowania pozwalający uwierzytelnionemu użytkownikowi na pobranie skompresowanych wersji wykradzionych danych poszczególnych ofiar.
Drugim głównym narzędziem stosowanym przez Dragonfly jest Trojan.Karagany. W odróżnieniu od programu Oldrea, Karagany był już dostępny na czarnym rynku. Kod źródłowy pierwszej wersji tego programu wyciekł w 2010 roku. Według firmy Symantec grupa Dragonfly przejęła go i zmodyfikowała pod kątem swoich potrzeb. Ta wersja została wykryta przez firmę Symantec jako Trojan.Karagany!gen1.
Karagany może przesyłać wykradzione dane, pobierać nowe pliki i uruchamiać pliki wykonywalne na zainfekowanym komputerze. Potrafi również uruchamiać dodatkowe wtyczki, służące na przykład do przechwytywania haseł, robienia zrzutów ekranu czy katalogowania dokumentów.
Firma Symantec wykryła, że większość komputerów, które padły ofiarą atakujących, została zainfekowana programem Oldrea. Program Karagany został użyty w przypadku zaledwie 5 procent infekcji. Oba programy działają podobnie i nie wiadomo, dlaczego atakujący wyraźnie chętniej korzystają z jednego z nich.
Wiele kanałów ataków
W swoich atakach na cele z branży energetycznej grupa Dragonfly stosowała co najmniej trzy taktyki infekowania. Pierwszą z nich była kampania rozsyłania spamu pocztą e-mail, w ramach której wybrani kierownicy i starsi pracownicy atakowanych firm otrzymali wiadomości zawierające zainfekowany załącznik PDF. Miały one tematy „The account” (Konto) lub „Settlement of delivery problem” (Rozwiązanie problemu z dostarczeniem) i wszystkie zostały wysłane z jednego adresu Gmail.
Kampania rozsyłania spamu zaczęła się w lutym 2013 roku i trwała do czerwca 2013 r. Firma Symantec zidentyfikowała siedem organizacji, które zostały wówczas zaatakowane. Liczba wiadomości wysyłanych do poszczególnych organizacji wahała się od jednej do 84.
Następnie atakujący skoncentrowali się na atakach typu „watering hole”. Doprowadziło to do złamania zabezpieczeń wielu witryn związanych z tematyką energetyczną i wprowadzenia w nie elementu iframe, który z kolei miał przekierowywać użytkowników do innej prawdziwej witryny o złamanych zabezpieczeniach, gdzie został umieszczony zestaw mechanizmów wykorzystywania luk Lightsout. Wykorzystuje on luki w zabezpieczeniach programów Java lub Internet Explorer w celu wprowadzenia programu Oldrea lub Karagany do komputera ofiary. Fakt, że na każdym etapie operacji atakującym udało się przejąć kontrolę nad wieloma legalnymi witrynami, jest kolejnym dowodem na ich duże możliwości techniczne.
We wrześniu 2013 r. grupa Dragonfly zaczęła korzystać z nowej wersji zestawu mechanizmów wykorzystywania luk znanej jako Hello. Jego strona docelowa zawiera kod JavaScript, który określa cechy charakterystyczne systemu przez zidentyfikowanie zainstalowanych wtyczek przeglądarki. Ofiara jest następnie przekierowywana pod adres URL, który z kolei na podstawie zebranych informacji ustala, jakiego zestawu mechanizmów wykorzystywania luk należy użyć w danym przypadku.
Oprogramowanie zainfekowane koniem trojańskim
Najbardziej zaawansowany sposób ataku stosowany przez grupę Dragonfly polegał na przejęciu kontroli nad wieloma prawidłowymi pakietami oprogramowania. Zostali zaatakowani trzej różni dostawcy sprzętu ICS — w pakiety oprogramowania udostępniane przez nich do pobrania w witrynie internetowej został wprowadzony destrukcyjny kod. Wszystkie trzy firmy produkują sprzęt stosowany w wielu sektorach przemysłu, w tym w branży energetycznej.
Pierwszym zidentyfikowanym programem zainfekowanym koniem trojańskim był produkt służący do konfigurowania dostępu przez sieć VPN do programowalnych sterowników logicznych (Programmable Logic Controller, PLC). Jego dostawca wykrył atak wkrótce po jego wystąpieniu, ale do tego czasu już 250 osób zdążyło pobrać oprogramowanie.
Drugą zaatakowaną firmą był europejski producent specjalistycznych sterowników PLC. W tym przypadku został zainfekowany pakiet oprogramowania zawierający sterownik do jednego ze sprzedawanych urządzeń. Według szacunków firmy Symantec oprogramowanie z koniem trojańskim było dostępne do pobrania co najmniej przez sześć tygodni w czerwcu i lipcu 2013 r.
Trzecią ofiarą była europejska firma produkująca systemy do zarządzania turbinami wiatrowymi, wytwórniami biogazu i inną infrastrukturą energetyczną. Według firmy Symantec zainfekowane oprogramowanie mogło być dostępne do pobrania przez około dziesięć dni w kwietniu 2014 r.
Członkowie grupy Dragonfly mają duże umiejętności techniczne i potrafią myśleć strategicznie. Biorąc pod uwagę rozmiar niektórych atakowanych organizacji, można uznać, że grupa znalazła ich słaby punkt — złamała zabezpieczenia ich dostawców, czyli firm znacznie mniejszych i dużo słabiej chronionych.
Ochrona
Firma Symantec dysponuje następującymi metodami wykrywania, które mogą ochronić jej klientów przed złośliwym oprogramowaniem stosowanym w tych atakach:
Wykrywanie wirusów
Sygnatury systemu zapobiegania włamaniom
- Ataki internetowe: zestaw mechanizmów wykorzystywania luk Lightsout
- Ataki internetowe: zestaw narzędzi Lightsout Toolkit Website 4
Więcej informacji technicznych o atakach grupy Dragonfly zawiera nasze opracowanie techniczne.