Хакеры из Dragonfly 1,5 года саботировали работу крупнейших энергетических предприятий

 

Кибершпионаж сегодня используется не только для получения секретной государственной информации о военных и политических планах правительства других стран. Всё чаще в качестве потенциальной цели выбираются объекты, имеющие первостепенное экономическое значение, в частности — предприятия энергетического сектора. Согласно докладу представителей Symantec — фирмы из Купертино, занятой разработками ПО в сфере информационной безопасности, хакерская группа под названием Dragonfly продолжительное время вела «подрывную деятельность» в виртуальном пространстве. В её послужном списке значится ряд стратегически важных объектов, доступ к управлению процессами и ценнейшим секретным данным, которые сумела заполучить команда хакеров. В качестве целей для удара «Стрекоза» выбирала организации, занятые в энергетическом секторе, нефтепереработке и производстве, поставках крупного промышленного оборудования, газодобыче и других схожих отраслях.    

www.bea-tdl.de

www.bea-tdl.de

Для оперативного и незаметного получения контроля за системами крупных промышленных предприятий злоумышленники использовали троянцы, позволяющие мониторить, извлекать файлы и следить удалённым способом за действиями потенциальных жертв и даже отдавать команды для смены режима работы технологических машин. Вредоносное ПО, основой которого стали троянцы Backdoor.Oldrea («Энергетический медведь») и Trojan.Karagany, а также специально написанный под конкретную операцию код, попадало совсем нехитрым способом в чужую систему одновременно с загрузкой обновлений на компьютеры, имевших подключение к Всемирной сети. Также специалистами Dragonfly был задействован и старый добрый метод активного спама на адреса электронной почты.

www.malekal.com

www.malekal.com

Именно спам и стал первоначальной тактикой киберпреступников, как отработанный и эффективный. Вирусы попадали на почту руководителей и сотрудников компаний под видом PDF-вложений. Заголовки «заражённых» писем обычно имели две характерные особенности. Это были сообщения, в теме которых указывалось что-то вроде «Внимание» или «Урегулирование вопросов поставки», а вся входящая корреспонденция отправлялась с единого адреса в почтовой системе Gmail. Уже позже в ход пошла и более «тяжёлая артиллерия» в виде взлома официальных сайтов предприятий энергетической отрасли и грамотное перенаправление посетителей на инфицированные ресурсы, а также тщательного поиска на предмет уязвимости промышленных систем. 

pcworld.com

pcworld.com

Отправка почтового спама интенсивно практиковалась хакерами Dragonfly с начала февраля 2013 года и продолжалась до июня 2013 года, а под целенаправленный удар по данным Symantec попало не менее семи весьма крупных организаций. На почту каждой из них было выслано от одного до 84 писем схожего характера. 

Аналитикам при сборе материалов и статистики атак удалось установить следующие временные показатели, определяющие географическую принадлежность киберпреступников. Хакеры действовали преимущественно с понедельника по пятницу, а их активность начиналась около 9 часов утра и продолжалась до 18 часов по часовому поясу UTC+4. Стоит отметить, что эксперты считают местом базирования группы одну из стран Восточной Европы, предположительно — Российскую Федерацию. Об этом недвусмысленно намекают и указанный в отчёте часовой пояс, и пестрящие заголовки зарубежных интернет-изданий про причастность именно российских специалистов. В указанный UTC+4 попадает достаточно большая территория России, а также Армения, Грузия, Оман, Маврикий и ещё пара не слишком активных с точки зрения хакерской деятельности государств. 

twitter.com

twitter.com

Пожалуй, одной из самых грандиозных кампаний стала атака с помощью любимца программистов Dragonfly — «Энергетического медведя». По имеющимся данным, опасность данной программы состояла в том, что она позволяла не просто наблюдать за происходящими процессами в системе и открывать доступ к файлам. Хакерам, внедрившим в промышленный комплекс «Энергетического медведя», открывался доступ к средствам контроля и настройками функционирующих в заданном режиме энергетических установок, вроде ветроагрегатов, турбин, компрессоров, газопроводов. Несмотря на то, что первоначальной задачей вредоносного ПО значилась исключительно пассивная роль мониторинга, модифицированные варианты открывали доступ к реальным и опасным инструментам саботирования, которое могло привести к экономическому краху и человеческим жертвам.

definicije.blogspot.com

definicije.blogspot.com

Второй наиболее часто внедряемый троянец — Backdoor.Oldrea — является вполне стандартной программой, созданной, вероятнее всего, силами самих хакеров. Он позволяет получать данные о всех установленных программах, извлекать данные из адресных книг почтовых клиентов и файлов. Затем все собранные сведения шифруются и оказываются уже на удалённом сервере, находящемся под управлением киберпреступников.

Что касается Trojan.Karagany, то он не является творением членов Dragonfly, а доступен для приобретения на «чёрном рынке». Первая его версия была обнаружена ещё в 2010 году, а нынешняя вариация троянца постоянно подвергалась модификациям в зависимости от конечной цели применения. 

Считается, что неизвестным удалось за 1,5 года инфицировать вирусом свыше 1000 организаций в 84 странах мира. Вредоносные действия Dragonfly распространились практически по всей планете, скомпрометировав деятельность организаций в США, Испании, Франции, Италии, Германии, Турции, Польше и т.д.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Источник:

Постоянный URL: https://servernews.ru/823217
Система Orphus