Zero
Aryut Tantisoontornchai, Getty Images/iStockphoto
Oltre due dozzine di aziende di energia e servizi di utilità negli USA e in Europa sono stati attaccati come parte di un cyber-spionaggio campagna che cerca di infiltrarsi i sistemi di controllo di sistemi di alimentazione.
La Libellula attacco di gruppo, noto anche come Energico Orso e Crouching Yeti – è operativo dal 2011, ma è apparso a cessare l’attività, dopo essere stati esposti nel 2014.
Ma dopo una pausa di quasi due anni, il gruppo ha ripreso la sua attività e Libellula 2.0 distribuito spear-phishing, foro di irrigazione attacchi e una gamma di malware nel tentativo di infettare le aziende di energia.
I ricercatori di Symantec hanno scoperto “forti indizi” di attaccante attività in un certo numero di organizzazioni di tutto il mondo, tra cui 20 in stati UNITI, sei organizzazioni in Turchia e uno in Svizzera.
La ripresa attacchi iniziato come un invito ad una festa di capodanno per obiettivi nel settore dell’energia, nel mese di dicembre 2015 e di un ulteriore e-mail malevoli sono stati distribuiti in tutta 2016 e nel 2017. Molti di questi messaggi sono stati sembianze di applicazioni di lavoro e inviti a eventi rilevanti per il settore dell’energia.
Se aperto e gestito, dannoso allegato contenuto nella e-mail di eliminato la Phishery trojan per rubare le vittime delle credenziali tramite un modello ad iniezione di attacco.
Oltre alla e-mail di phishing, la Libellula gruppo cablaggi foro di irrigazione attacchi di rubare le credenziali di compromettere i siti web che potranno essere visitati da coloro che lavorano nel nucleare e l’energia.
“La Libellula gruppo compromesso strategico siti web relativi al settore dell’energia e piantato il loro malware sul sito, e non è zero vulnerabilità del giorno per infettare i computer,” Candid Wüest, minaccia ricercatore presso Symantec, ha detto a ZDNet.
“Abbiamo anche trovato prove che trojan pacchetti software sono stati utilizzati anche come file masquerading come aggiornamenti di Flash che vorresti installare dannoso backdoor su reti di destinazione, probabilmente tattica sarebbe quella di utilizzare tecniche di ingegneria sociale per convincere la vittima che avevano bisogno di scaricare un aggiornamento per il Flash player”, ha aggiunto.
Qualunque sia il modo in cui gli hacker sono riusciti a rubare le credenziali che vengono utilizzati per condurre il follow-up di attacchi contro il follow-up dell’organizzazione. Una volta che l’istanza contro un non meglio specificato target vittima è stata contagiata dopo la visita di uno dei siti compromessi. Undici giorni dopo, gli aggressori hanno installato un Goodor trojan sul computer compromesso, che consente l’accesso remoto per tutto il sistema.
Altri backdoor installata in sistemi includono il Karagany B, Dorshell e Heriplor Trojan. La Libellula è l’unico gruppo ha pensato di utilizzare il Heriplor di Troia, il che rende la presenza di codice è uno degli indicatori più forti che questi attacchi sono stati effettuati dallo stesso gruppo, il cui obiettivo Occidentale settore energetico tra il 2011 e il 2014.
Durante la campagna sembra essere lo svolgimento di ricognizione, per ora, non oltre i regni di possibilità che gli aggressori potrebbero usare le credenziali per operazioni di sabotaggio.
“La Libellula gruppo sembra essere interessati a imparare come impianti di energia a funzionare e anche ottenere l’accesso ai sistemi operativi stessi, nella misura in cui il gruppo ha potenzialmente la capacità di sabotaggio o di ottenere il controllo di questi sistemi dovrebbe decidere di farlo,” Symantec ha detto.
“Il sabotaggio delle operazioni di fornitori di energia potrebbe causare grandi disagi per i grandi numeri di persone, come si è visto con il compromesso dell’Ucraina, di un sistema di potere nel 2015 e 2016. L’impatto di un attacco atomico fornitore di energia potenzialmente potrebbe essere molto peggio”, ha detto Wüest.
I ricercatori non sono stati in grado di individuare specificatamente quelli dietro gli attacchi, ma nota “questo è chiaramente un abile gruppo di attacco” che sembra aver fatto alcuno sforzo per non essere in grado di essere identificati.
Alcune stringhe di codice del malware utilizzato in attacchi sono russo, ma c’è anche stringhe in francese. I ricercatori dicono che almeno una di queste lingue è probabile che sia un false-flag progettato per nascondere le tracce degli aggressori.
“Lasciando false flag e tracce in strumenti di attacco è diventato comune per i sofisticati e stato-nazione sponsorizzato attacco di gruppi. Questo comportamento indica che gli attaccanti sono ben consapevoli che i loro attacchi saranno mostrati anche scoperto e analizzato a un certo punto nel tempo,” ha detto Wüest.
Ciò che è chiaro è che Dragonfly capacità di compromesso organizzazioni nel settore dell’energia, rubare informazioni e ottenere l’accesso a sistemi a chiave indica che si tratta di un servizio altamente professionale di funzionamento.
I ricercatori hanno scelto pubblicamente parlare di campagna, al fine di aumentare la consapevolezza perché gli attacchi sono ancora in corso e le organizzazioni del settore energetico, sono a rischio.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Hacker russi di destinazione delle infrastrutture critiche e la democrazia, avverte UKSenators vogliono risposte sul rischio nucleare impianto hack [CNET]Devastanti attacchi a infrastrutture pubbliche e ‘una questione di quando e’ in USFines per essere violato: Se una violazione è giù di brutto di sicurezza potrebbe costare millionsDefending contro la cyberwar: Come la sicurezza informatica elite sta lavorando per evitare che un apocalisse digitale [TechRepublic]
0