Οι χάκερς Dragonfly έχουν πρόσβαση στις εταιρείες ηλεκτρικής ενέργειας, τόσο της Ευρώπης, όσο και της Αμερικής.
Η ομάδα hacking Dragonfly είναι πίσω ή καλύτερα θα έπρεπε να πούμε ότι πιθανότατα δεν έφυγε ποτέ και εξακολουθεί να ενδιαφέρεται για τη διείσδυση των δικτύων ευρωπαϊκών και αμερικανικών εταιρειών στον ενεργειακό τομέα.
Ακόμη χειρότερα, οι προσπάθειές τους ήταν πολύ επιτυχείς και επανειλημμένα κατάφεραν να αποκτήσουν πρόσβαση στα επιχειρησιακά συστήματα αυτών των εταιρειών, επιτρέποντάς τους να παρεμβαίνουν στις επιχειρήσεις ηλεκτρικού δικτύου.
Dragonfly 2.0
Οι ερευνητές της Symantec πιστεύουν ότι η ομάδα που συμμετέχει σε αυτές τις επιθέσεις έχει μανία με τον ενεργειακό κλάδο και πιστεύεται ότι εδρεύουν στη Ρωσία ή την Ανατολική Ευρώπη και πιθανώς να χρηματοδοτούνται από το κράτος.
Αυτή τη φορά, ο κώδικας στο κακόβουλο λογισμικό που έχει αναλυθεί περιέχει στοιχεία τόσο στη ρωσική όσο και στη γαλλική γλώσσα, κάνοντας τους ερευνητές να πιστεύουν ότι μία από αυτές τις γλώσσες μπορεί να έχει τοποθετηθεί για αντιπερισπασμό, ούτως ώστε να καλύψει την άλλη και να δημιουργηθούν αμφιβολίες.
Γενικά η χρήση του διαθέσιμου κακόβουλου λογισμικού και του νόμιμου λογισμικού (administration tools) φαίνεται να έχει ως στόχο να δυσχεράνει τον προσδιορισμό των επιθέσεων. Επίσης, δεν χρησιμοποιούν εκμεταλλεύσεις zero-day exploits, ίσως για τον ίδιο λόγο. Ακόμα, χρησιμοποιούν κάποιο προσαρμοσμένο malware που έχει χρησιμοποιηθεί προηγουμένως στις πρώτες καμπάνιες Dragonfly.
“Οι αρχικές εκστρατείες Dragonfly φαίνεται ότι ήταν πλέον διερευνητική φάση όπου οι επιτιθέμενοι απλά προσπαθούσαν να αποκτήσουν πρόσβαση στα δίκτυα των στοχευμένων οργανισμών. Οι εκστρατείες Dragonfly 2.0 δείχνουν πώς οι εισβολείς μπορούν να εισέλθουν σε μια νέα φάση, με τις πρόσφατες εκστρατείες να τους παρέχουν πρόσβαση σε επιχειρησιακά συστήματα, πρόσβαση που θα μπορούσε να χρησιμοποιηθεί για πιο αποδιοργανωτικούς σκοπούς στο μέλλον “, σημειώνουν οι ερευνητές.
“Οι πιο σημαντικές ενδείξεις αυτού είναι η χρήση των στιγμιότυπων οθόνης (screen captures). Σε μια συγκεκριμένη περίπτωση οι εισβολείς χρησιμοποίησαν μια σαφή μορφή για την ονομασία των αρχείων καταγραφής οθόνης, [machine description και location]. [organization name]. Η σειρά “cntrl” (control) χρησιμοποιείται σε πολλές από τις περιγραφές των μηχανών, ενδεχομένως δε υποδεικνύει ότι αυτά τα μηχανήματα έχουν πρόσβαση σε λειτουργικά συστήματα”.
Όπως και στις αρχικές καμπάνιες Dragonfly, οι αρχικοί φορείς μόλυνσης που χρησιμοποιούνται από την ομάδα είναι με τα μηνύματα ηλεκτρονικού “ψαρέματος” (phishing) και Trojanized software,. Συνήθως, οι επιτιθέμενοι θα εγκαταστήσουν ένα ή δύο backdoors στους υπολογιστές των θυμάτων για να αποκτήσουν απομακρυσμένη πρόσβαση και να τους επιτρέψουν να εγκαταστήσουν πρόσθετα εργαλεία, αν χρειαστεί.
“Το Dragonfly είναι μία από τις πιο αποτελεσματικές ομάδες hacking στον κόσμο, ικανό να θέτει σε κίνδυνο πολλούς οργανισμούς, να κλέβει πληροφορίες και να αποκτά πρόσβαση σε βασικά συστήματα. Αυτό που σχεδιάζει να κάνει δεν έχει ακόμη καταστεί σαφές, αλλά οι δυνατότητές του επεκτείνονται σε ουσιαστική διατάραξη των στοχοθετημένων οργανισμών εάν το επιλέξουν να το πράξουν», σημειώνουν οι ερευνητές.
Προστασία από το Dragonfly.
Το Dragonfly βασίζεται σε κλεμμένα διαπιστευτήρια για να θέσει σε κίνδυνο ένα δίκτυο. Όλες οι συνηθισμένες συμβουλές σχετικά με τους κωδικούς πρόσβασης ισχύουν: καθιστώντας τους μεγάλους, σύνθετους, και δεν θα τους επαναχρησιμοποιείται, επίσης εξετάστε σοβαρά το ενδεχόμενο να τους αλλάζετε συνεχώς, ακόμη και σε καθημερινή βάση.
Msgstr “” “Διαγράψτε τα πιστοποιητικά και τα προφίλ που δεν έχουν χρησιμοποιηθεί και περιορίστε τον αριθμό των προφίλ που δημιουργήθηκαν σε επίπεδο διαχειριστή. Χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων για να δώσετε ένα πρόσθετο επίπεδο ασφάλειας, αποτρέποντας την χρήση κλοπών διαπιστευτηρίων από τους εισβολείς “, συμβουλεύει η Symantec.
Τα δεδομένα σε κατάσταση αναπαύσεως και διαμετακόμισης θα πρέπει να κρυπτογραφούνται, οι εργαζόμενοι θα πρέπει να εκπαιδεύονται σχετικά με τα μηνύματα ηλεκτρονικού “ψαρέματος” (phishing), θα πρέπει να εφαρμόζονται σε βάθος άμυνας και, επομένως, η SMB να απομακρύνει το φιλτράρισμα της κίνησης σε περιμετρικές συσκευές για να αποτρέψει την κυκλοφορία SMB από το δίκτυο.
“Αυτό που ενδιαφέρει εδώ είναι οι σχετικά απλές μέθοδοι που χρησιμοποιεί η ομάδα hacking. Συνήθως με το SCADA, η τακτική επιλογής είναι να εκμεταλλευτούν τρωτά σημεία. Σε αυτή την περίπτωση, όμως, έχουν επιλέξει να ακολουθήσουν τις παλαιότερες αλλά πιο αποτελεσματικές μεθόδους phishing για τον εντοπισμό τρυπών, ούτως ώστε να μπουν μέσα. Φυσικά, μόλις οι επιτιθέμενοι είναι μέσα θα εξακολουθούν να πραγματοποιούν εκμεταλλεύσεις. Αλλά το ηλεκτρονικό “ψάρεμα” είναι ένα αποτελεσματικό πρώτο στάδιο “, σημειώνει ο Leigh Ann Galloway, επικεφαλής ανθεκτικότητας στην Cyber Security.