Nul
Aryut Tantisoontornchai, Getty Images/iStockphoto
Meer dan twee dozijn energie bedrijven en nutsbedrijven in de VS en Europa hebben aangevallen als onderdeel van een cyber spionage campagne die ziet er te infiltreren in de systemen van voedingssystemen.
De Dragonfly aanval groep – ook bekend als Energieke Beer en Gehurkt Yeti – is actief sinds 2011, maar leken te staken activiteit na te zijn blootgesteld in 2014.
Maar na een pauze van bijna twee jaar, de groep hervat activiteiten en Dragonfly 2.0 ingezet spear-phishing e-mails, drinkplaats-aanvallen en een bereik van malware in een poging om te infecteren energie bedrijven.
Onderzoekers van Symantec hebben ontdekt “sterke aanwijzingen” van de aanvaller activiteit in een aantal organisaties over de hele wereld, waarvan 20 in de VS, zes organisaties in Turkije en één in Zwitserland.
De nieuw leven ingeblazen aanvallen begon als een uitnodiging voor een New Year ‘ s Eve party tot de doelen in de energie sector in December 2015 en verder kwaadaardige e-mails werden verspreid in 2016 en 2017. Veel van deze berichten waren vermomd om te kijken als sollicitaties en uitnodigingen voor gebeurtenissen die relevant zijn voor de energiesector.
Als geopend en uitgevoerd, de kwaadaardige bijlage opgenomen in de e-mail liet de Phishery trojan te stelen slachtoffers’ referenties via een sjabloon injectie aanval.
In aanvulling op de phishing-e-mails, de Dragonfly groep harnassen drinkplaats-aanvallen te stelen referenties door compromitterende websites kans om bezocht te worden door mensen die werkzaam zijn in de nucleaire en energie.
“De Libel groep besmette strategische websites die gerelateerd zijn aan de energie sector en plantten hun malware op de website, en maakt geen gebruik van zero-day kwetsbaarheden in orde om computers te infecteren,” Candid Wuest, bedreiging, onderzoeker bij Symantec, vertelde ZDNet.
“We hebben ook aanwijzingen gevonden dat trojanized software pakketten werden ook gebruikt, zoals bestanden, vermomd als Flash-updates die zou installeren van schadelijke backdoors op doel netwerken – een waarschijnlijk tactiek zou zijn om het gebruik van ‘social engineering’ te overtuigen van een slachtoffer ze nodig voor het downloaden van een update voor de Flash player,” voegde hij eraan toe.
Welke manier hackers slaagde erin om te stelen referenties, ze worden gebruikt voor het uitvoeren van follow-up van de aanvallen tegen de follow-up van de organisatie. In een keer aanleg – tegen een nader te bepalen doel – een slachtoffer besmet geraakt na een bezoek aan een van de besmette sites. Elf dagen later, de aanvallers geïnstalleerd een Goodor trojan op de gecompromitteerde machine, zodat op afstand toegang tot alles op het systeem.
Andere backdoors geïnstalleerd in systemen zijn de Karagany B, Dorshell en Heriplor Trojaanse paarden. De Dragonfly is de enige groep vond de Heriplor Trojan, die maakt dat de aanwezigheid van die code een van de sterkste indicatoren dat deze aanvallen worden uitgevoerd door dezelfde groep die gericht op de West-energie sector tussen 2011 en 2014.
Terwijl campagne lijkt te worden het uitvoeren van verkenningen voor nu, het is niet voorbij de gebieden van de mogelijkheid dat de aanvallers konden gebruik maken van de referenties te saboteren activiteiten.
“De Libel groep lijkt te zijn geïnteresseerd in het leren hoe energie-installaties te bedienen en ook het verkrijgen van toegang tot operationele systemen zelf, in de mate dat de groep nu mogelijk heeft de mogelijkheid om sabotage of controle over deze systemen moet het besluit om dit te doen,” Symantec zei.
“Het saboteren van de activiteiten van energie-aanbieders zou leiden tot grote verstoring van grote aantallen mensen, zoals was te zien met het compromis van Oekraïne’ s power systeem in 2015 en 2016. De impact van een aanval tegen een atomaire energie aanbieder kan potentieel veel erger zijn,” zei Wuest.
De onderzoekers niet in staat zijn geweest om specifiek te identificeren die achter de aanslagen, maar de opmerking “dit is duidelijk een ervaren aanval groep” die lijkt te hebben in het werk in het niet kunnen worden geïdentificeerd.
Sommige van de code-strings in de malware gebruikt in aanvallen waren russisch, maar er is ook strings in het frans. Onderzoekers zeggen dat ten minste een van deze talen is waarschijnlijk een valse-vlag ontworpen om te verbergen de sporen van de aanvallers.
“Het verlaten van valse vlaggen en sporen in de aanval instrumenten zijn gemeengoed geworden voor verfijnde en natiestaat gesponsorde aanval groepen. Dit gedrag laat zien dat de aanvallers zijn goed van bewust dat hun aanvallen krijgt ontdekte en analyseerde op één moment in de tijd,” zei Wuest.
Wat duidelijk is, is dat Dragonfly ‘ s vermogen om met succes een compromis organisaties in de energiesector, het stelen van informatie en de toegang tot systemen geeft het een zeer professionele bediening.
De onderzoekers hebben ervoor gekozen om in het openbaar te praten over de campagne om bekendheid te geven omdat deze aanvallen zijn nog aan de gang en organisaties in de energie sector in gevaar.
LEES MEER OVER CYBER CRIME
Russische hackers doel van kritieke infrastructuur en de democratie, waarschuwt UKSenators wilt antwoorden op risico van de kerncentrale hacks [CNET]Verwoestende aanvallen op de openbare infrastructuur ‘een kwestie van wanneer” in de USFines voor gehackt: Als een schending is te danken aan de slechte beveiliging het kan kosten u millionsDefending tegen cyberwar: Hoe de cybersecurity elite werken om te voorkomen dat een digitale apocalyps [TechRepublic]
0