Hogyan működik és mit csinál a Dragonfly, az új Stuxnet?
2014. június 30-án a Symantec bemutatta a Dragonfly (más néven Energetic Bear) elnevezésű támadássorozatot. A támadók legalább 2011 óta működnek, és számos stratégiailag fontos szervezet ellen kémkedtek, amellyel komoly károkat, fennakadásokat okozhattak volna az érintett országok energiaellátásában. A Symantec még a bejelentés előtt figyelmeztette a megtámadott szervezeteket és az illetékes nemzetközi hatóságokat.
Taktikák, technikák, procedúrák (TTP)
A Dragonfly csoport elsősorban két eszközt használt, a Backdoor.Oldrea és a Trojan.Karagany trójai programokat (Remote Access Trojans – RAT). Az Oldrea hátsó ajtóként működik a támadók számára, amelynek segítségével kibonthatják az adatokat, és további kártevőket is telepíthetnek a fertőzött számítógépekre. Vélhetően egyedi kártevő, amelyet a csoport kifejezetten magának írt vagy íratott. Ezzel ellentétben a Karagany megvásárolható volt a feketepiacon, első verziójának forráskódja 2010-ben került napvilágra. A Symantec véleménye szerint a Dragonfly megvásárolhatta a kódot, majd saját igényeinek megfelelően módosította. Ezt a verziót Trojan.Karagany!gen1 néven a Symantec fedezte fel.
A támadások az ellopott adatokat a támadók által irányított távoli command-and-control (C&C) szerverekre töltik fel, további kártevőket telepítenek, valamint futtatják a fertőzött gépeken lévő fájlokat. Emellett olyan bővítményeket is képesek futtatni, amelyek összegyűjtik a jelszavakat, screenshotokat készítenek, valamint katalogizálják a fertőzött gépek dokumentumait.
A Dragonfly támadásának első fázisában adathalász e-mailekben kártevőket küldött a célba vett vállalatoknak. Ennek során főleg vezetőknek és magas beosztású alkalmazottaknak küldtek leveleket egy Gmail-fiókból, a tárgyban jellemzően az szerepelt, hogy „Számla” vagy „Szállítási probléma rendezése". Az e-mailek emellett egy fertőzött PDF csatolmányt is tartalmaztak.
A második fázisban watering hole támadásokat alkalmaztak az energiaszektor dolgozói által leginkább látogatott weboldalak feltöréséhez, amelyek exploit kiteket tartalmazó oldalakra irányították az áldozatokat. Ezek az exploit kitek továbbították a kártevőket az áldozatok számítógépeire, amelyek kihasználták a Java és az Internet Explorer sebezhetőségeit, majd telepítették a Backdoor.Oldrea vagy a Trojan.Karagany programot az áldozat számítógépére.
Az akció harmadik fázisában trójai programokat helyeztek el három vezérlőrendszereket gyártó vállalkozás eredeti, hivatalos szoftvercsomagjaiban, amelyek hosszabb-rövidebb ideig letölthetők voltak a támadott cégek weboldaláról.
A támadásokat valószínűleg egy állam támogathatta
A Dragonfly kiváló erőforrásokkal és a kártevők széles tárházával rendelkezik, többféle módszerrel is képes támadást indítani, és számos külső weboldalt is feltör az akció során. Magas fokú technikai megoldásai arra utalnak, hogy az akciót egy állam támogathatta.
A támadássorozat a Stuxnet nyomdokaiban halad, amely az első ismert ICS rendszereket célzó támadás volt. Miközben láthatunk hasonlóságokat a támadások mögötti motivációkban, úgy tűnik, hogy míg a Stuxnet vírust elsősorban szabotázsra tervezték, a Dragonfly célja elsősorban a kémkedés, és csak másodsorban a potenciális szabotázs.
Kapcsolódó cikkek
- Pénzt kérnek a hackerek, hogy visszakapjuk letiltott adatainkat
- Orosz kémprogram vadászik katonai adatokra
- Így fertőződnek meg a weboldalak - egyszerűbb mint gondolnánk
- Zárolja a számítógépünket a Magyarországon is megjelent ransomware
- Kevesebb, de eredményesebb célzott kibertámadás volt az idén
- Elfogták az egyik legismertebb kémprogram alkotóját
- Skype-on keresztül hálóznak be a hackerek
- Az MSN Messenger vége, a támadások kezdete
- 132 millió sérülékenység, több mint 11 millió asztali számítógépen
- 2012. legérdekesebb számítógépes átverései, kártevői, támadásai