Prim Hírek

A Dragonfly kezdetben védelmi és légi közlekedési vállalatokat vett célba az Egyesült Államokban és Kanadában, majd 2013 elején váltott amerikai és európai energiaipari cégekre. Célpontjai között voltak energiahálózat-üzemeltetők, nagy villamosenergia-cégek, kőolajvezeték-üzemeltetők, valamint energiaipari vezérlőrendszerekhez (industrial control system – ICS) használatos berendezéseket gyártó vállalkozások. A célpontok legnagyobb része az Egyesült Államokban, Spanyolországban, Franciaországban, Olaszországban, Németországban, Törökországban és Lengyelországban találhatók.

 

 

Taktikák, technikák, procedúrák (TTP)

A Dragonfly csoport elsősorban két eszközt használt, a Backdoor.Oldrea és a Trojan.Karagany trójai programokat (Remote Access Trojans – RAT). Az Oldrea hátsó ajtóként működik a támadók számára, amelynek segítségével kibonthatják az adatokat, és további kártevőket is telepíthetnek a fertőzött számítógépekre. Vélhetően egyedi kártevő, amelyet a csoport kifejezetten magának írt vagy íratott. Ezzel ellentétben a Karagany megvásárolható volt a feketepiacon, első verziójának forráskódja 2010-ben került napvilágra. A Symantec véleménye szerint a Dragonfly megvásárolhatta a kódot, majd saját igényeinek megfelelően módosította.  Ezt a verziót Trojan.Karagany!gen1 néven a Symantec fedezte fel.

 

A támadások az ellopott adatokat a támadók által irányított távoli command-and-control (C&C) szerverekre töltik fel, további kártevőket telepítenek, valamint futtatják a fertőzött gépeken lévő fájlokat. Emellett olyan bővítményeket is képesek futtatni, amelyek összegyűjtik a jelszavakat, screenshotokat készítenek, valamint katalogizálják a fertőzött gépek dokumentumait.

 

A Dragonfly támadásának első fázisában adathalász e-mailekben kártevőket küldött a célba vett vállalatoknak. Ennek során főleg vezetőknek és magas beosztású alkalmazottaknak küldtek leveleket egy Gmail-fiókból, a tárgyban jellemzően az szerepelt, hogy „Számla” vagy „Szállítási probléma rendezése". Az e-mailek emellett egy fertőzött PDF csatolmányt is tartalmaztak.

 

A második fázisban watering hole támadásokat alkalmaztak az energiaszektor dolgozói által leginkább látogatott weboldalak feltöréséhez, amelyek exploit kiteket tartalmazó oldalakra irányították az áldozatokat. Ezek az exploit kitek továbbították a kártevőket az áldozatok számítógépeire, amelyek kihasználták a Java és az Internet Explorer sebezhetőségeit, majd telepítették a Backdoor.Oldrea vagy a Trojan.Karagany programot az áldozat számítógépére.

 

Az akció harmadik fázisában trójai programokat helyeztek el három vezérlőrendszereket gyártó vállalkozás eredeti, hivatalos szoftvercsomagjaiban, amelyek hosszabb-rövidebb ideig letölthetők voltak a támadott cégek weboldaláról.

 

A támadásokat valószínűleg egy állam támogathatta

 

A Dragonfly kiváló erőforrásokkal és a kártevők széles tárházával rendelkezik, többféle módszerrel is képes támadást indítani, és számos külső weboldalt is feltör az akció során. Magas fokú technikai megoldásai arra utalnak, hogy az akciót egy állam támogathatta.

 

A támadássorozat a Stuxnet nyomdokaiban halad, amely az első ismert ICS rendszereket célzó támadás volt. Miközben láthatunk hasonlóságokat a támadások mögötti motivációkban, úgy tűnik, hogy míg a Stuxnet vírust elsősorban szabotázsra tervezték, a Dragonfly célja elsősorban a kémkedés, és csak másodsorban a potenciális szabotázs.