Dragonfly: Οι εταιρείες ενέργειας σε ΗΠΑ/Ευρώπη βρίσκονται υπό την απειλή malware τύπου Stuxnet!

image001

Μια συνεχόμενη επίθεση κυβερνοκατασκοπείας κατά μιας σειράς διαφορετικών στόχων, κυρίως στον τομέα της ενέργειας, έδωσε σε επιτιθέμενους τη δυνατότητα να πραγματοποιήσουν επιχειρήσεις σαμποτάζ κατά των θυμάτων τους. Οι επιτιθέμενοι, γνωστοί στην Symantec ως Dragonfly, κατάφεραν να προσβάλλουν μια σειρά από στρατηγικά σημαντικούς οργανισμούς για λόγους κατασκοπείας και, αν είχαν χρησιμοποιήσει τις δυνατότητες σαμποτάζ που είχαν στη διάθεσή τους, θα μπορούσαν να έχουν προκαλέσει ζημιές και προβλήματα στην παροχή ενέργειας στις προσβαλλόμενες χώρες.

Μεταξύ των στόχων του Dragonfly ήταν πάροχοι υπηρεσιών ενέργειας, μεγάλες εταιρίες παραγωγής ηλεκτρικού ρεύματος, εταιρείες δικτύων παροχής πετρελαίου και πάροχοι βιομηχανικού εξοπλισμού ενέργειας. Η πλειοψηφία των θυμάτων προέρχονταν από τις ΗΠΑ, Ισπανία, Γαλλία, Ιταλία, Γερμανία, Τουρκία και Πολωνία.

Η ομάδα Dragonfly διαθέτει πολλούς πόρους, με μια σειρά εργαλείων malware στα χέρια της και είναι σε θέση να πραγματοποιεί επιθέσεις μέσω ενός αριθμού διαφορετικών vectors. Η πιο φιλόδοξη επίθεση που πραγματοποίησε ήταν αυτή σε παρόχους εξοπλισμού συστημάτων βιομηχανικού ελέγχου (ICS), προσβάλλοντας το λογισμικό τους με ένα Trojan απομακρυσμένης πρόσβασης. Με αυτόν τον τρόπο οι εταιρείες εγκατέστησαν το malware κατά τη διαδικασία downloading των ανανεώσεων λογισμικού για υπολογιστές που έχουν εξοπλισμό ICS. Αυτές οι παραβιάσεις όχι μόνο έδωσαν στους επιτιθέμενους προβάδισμα στα δίκτυα των εταιρειών, αλλά επίσης τους έδωσαν και τα μέσα να τρέξουν ενέργειες σαμποτάζ στους παραβιασμένους ICS υπολογιστές.

Αυτή η καμπάνια έρχεται μετά από τον Stuxnet, ο οποίος αποτέλεσε την πρώτη γνωστή μεγάλη επίθεση malware σε συστήματα ICS. Ενώ ο Stuxnet στοχοποίησε τα στενά όρια του Ιρανικού πυρηνικού προγράμματος και το σαμποτάζ ήταν ο κύριος σκοπός του, το Dragonfly φαίνεται να έχει πολύ πιο ευρύ φάσμα με την κατασκοπεία και την επίμονη πρόσβαση να είναι ο πρωταρχικός σκοπός και το σαμποτάζ να είναι απλά μια προαιρετική δυνατότητα, εφόσον ζητηθεί.

Επιπρόσθετα από την παραβίαση ICS λογισμικού, το Dragonfly έχει χρησιμοποιήσει spam email καμπάνιες και watering hole τύπου επιθέσεις για να προσβάλλει τις επιχειρήσεις που βρίσκονται στο στόχαστρο. Η ομάδα χρησιμοποίησε κυρίως δύο εργαλεία malware: το Backdoor.Oldrea και το Trojan.Karagany. Το πρώτο φαίνεται να είναι ένα εξειδικευμένο malware, είτε γραμμένο από ή για τους επιτιθέμενους.

Πριν τη δημοσιοποίηση, η Symantec ειδοποίησε τα προσβαλλόμενα θύματα και τις σχετικές εθνικές αρχές, όπως τα Computer Emergency Response Centers (CERTs) που χειρίζονται και ανταποκρίνονται σε περιστατικά ασφάλειας Διαδικτύου.

Ιστορικό

Η ομάδα Dragonfly, η οποία είναι επίσης γνωστή από άλλους προμηθευτές με την ονομασία Energetic Bear, λειτουργεί τουλάχιστον από το 2011 και μπορεί να βρίσκεται εν ενεργεία για πολύ περισσότερο καιρό. Η ομάδα αρχικά στόχευσε εταιρείες άμυνας και αεροπορίας στις ΗΠΑ και τον Καναδά, πριν στρέψει το ενδιαφέρον της σε εταιρείες ενέργειας στις ΗΠΑ και την Ευρώπη στις αρχές του 2013.

Η επίθεση κατά του τομέα ενέργειας σε ΗΠΑ και Ευρώπη επεκτάθηκε πολύ γρήγορα. Η ομάδα αρχικά ξεκίνησε να στέλνει malware μέσω phishing email στο προσωπικό των εν λόγω εταιρειών. Αργότερα, η ομάδα προσέθεσε και επιθέσεις watering hole στις παραβιασμένες ιστοσελίδες, που ήταν πιθανό να τις επισκεφτούν όσοι έχουν σχέση με τον τομέα της ενέργειας, ούτως ώστε να τους ανακατευθύνει σε ιστοσελίδες που φιλοξενούν exploit kit. Το exploit kit με τη σειρά του διέδιδε malware στους υπολογιστές των θυμάτων. Η τρίτη φάση της επίθεσης ήταν το Trojanizing νόμιμου λογισμικού που ανήκε σε τρεις διαφορετικούς κατασκευαστές ICS εξοπλισμού.

Το Dragonfly φέρει το ορόσημο μιας δραστηριότητας που έχει υποστηριχθεί από το κράτος, δείχνοντας ένα υψηλό επίπεδο τεχνικής επιδεξιότητας. Η ομάδα είναι σε θέση να κάνει επιθέσεις μέσα από πολλαπλά vectors και να παραβιάσει πολυάριθμες ιστοσελίδες τρίτων κατά τη διαδικασία. Το Dragonfly έχει στοχεύσει πολλές εταιρείες στον τομέα της ενέργειας σε μια μακρά περίοδο χρόνου. Το κυριότερο κίνητρο φαίνεται να είναι η κυβερνοκατασκοπεία, με βλέψεις σαμποτάζ σε δευτερεύον επίπεδο.

Η ανάλυση των compilation timestamps στο malware που χρησιμοποιήθηκε από τους επιτιθέμενους δείχνει ότι η ομάδα δρούσε κυρίως μεταξύ Δευτέρας και Παρασκευής, με την δραστηριότητά της να επικεντρώνεται κυρίως σε μια περίοδο χρόνου εννέα ωρών που αντιστοιχεί στο διάστημα από τις 9 έως και τις 6 μιας εργάσιμης ημέρας στη χρονική ζώνη UTC +4. Βάσει αυτών των πληροφοριών, είναι πιθανό οι επιτιθέμενοι να έχουν βάση την Ανατολική Ευρώπη.

Τα εργαλεία που χρησιμοποιήθηκαν

Το Dragonfly χρησιμοποιεί δύο κύρια τμήματα του malware στις επιθέσεις του. Και τα δύο είναι εργαλεία απομακρυσμένης πρόσβασης (RAT) malware, τα οποία παρέχουν στους επιτιθέμενους πρόσβαση και έλεγχο των παραβιασμένων συστημάτων. Το αγαπημένο εργαλείο malware του Dragonfly είναι το Backdoor.Oldrea, το οποίο είναι επίσης γνωστό και ως Havex ή ως Energetic Bear RAT. Το Oldrea λειτουργεί ως back door για τους επιτιθέμενους για την πρόσβαση στους υπολογιστές των θυμάτων, επιτρέποντας τους να εξάγουν δεδομένα και να εγκαταστήσουν επιπλέον malware.

To Oldrea εμφανίζεται ως προσαρμοσμένο malware, είτε δημιουργημένο από την ίδια την ομάδα είτε δημιουργήθηκε από κάποιο τρίτο για τις ανάγκες της ομάδας. Αυτό παρέχει ορισμένες ενδείξεις για τις δυνατότητες και τους πόρους πίσω από την ομάδα Dragonfly.

infected_countries

Γράφημα 1. Οι top 10 χώρες με ενεργές μολύνσεις (όπου οι επιτιθέμενοι υπέκλεψαν πληροφορίες από παραβιασμένα συστήματα)

Μόλις εγκατασταθεί στον υπολογιστή του θύματος, το Oldrea συλλέγει πληροφορίες για το σύστημα, μαζί με λίστες αρχείων, εγκατεστημένα προγράμματα, και διαθέσιμους οδηγούς. Εξάγει επίσης δεδομένα από τις διευθύνσεις του Outlook του υπολογιστή και τα αρχεία VPN. Αυτά τα δεδομένα συγκεντρώνονται σε ένα temporary αρχείο σε ένα encrypted format πριν σταλούν σε ένα απομακρυσμένο command-and-control (C&C) server που ελέγχεται από τους επιτιθέμενους.

Η πλειοψηφία των C&C servers εμφανίζονται να φιλοξενούνται σε παραβιασμένους server, οι οποίοι εκτελούν συστήματα διαχείρισης περιεχομένου, γεγονός που υποδεικνύει ότι οι επιτιθέμενοι μπορεί να έχουν χρησιμοποιήσει το ίδιο μέσο για να κερδίσουν το έλεγχο σε κάθε server. Το oldrea έχει ένα βασικό πάνελ ελέγχου το οποίο επιτρέπει στον authenticated χρήστη να κατεβάσει μία συμπιεσμένη έκδοση των κλεμμένων δεδομένων για κάθε ένα θύμα χωριστά.

Το δεύτερο κύριο εργαλείο που χρησιμοποιεί το Dragonfly είναι το Trojan.Karagany. Σε αντίθεση με το Oldrea, το Karagany ήταν διαθέσιμο στην παράνομη αγορά. Ο πηγαίος κώδικας για την 1η έκδοση του Karagany διέρρευσε το 2010. Η Symantec θεωρεί ότι το Dragonfly πήρε αυτόν τον κώδικα και τον τροποποίησε για δική του χρήση. Αυτή η έκδοση εντοπίστηκε από τη Symantec ως Trojan.Karagany!gen1.

Το Karagany είναι ικανό να κάνει upload κλεμμένων αρχείων, να κάνει download νέων αρχείων και να εκτελεί executable αρχεία σε ένα μολυσμένο υπολογιστή. Είναι επίσης ικανό να εκτελεί επιπρόσθετα plugin, όπως εργαλεία συλλογής κωδικών, λήψης screenshot, και να κατηγοριοποιεί αρχεία σε παραβιασμένα συστήματα.

Η Symantec βρήκε ότι η πλειονότητα των υπολογιστών που παραβιάστηκαν από τους επιτιθέμενους ήταν μολυσμένοι με τον Oldrea. Το Karagany χρησιμοποιήθηκε μόνο σε ποσοστό 5% των μολύνσεων. Αυτά τα δύο malware είναι παρόμοια σε λειτουργικότητα και τι παρακινεί τον επιτιθέμενο να επιλέξει το ένα έναντι του άλλου παραμένει άγνωστο.

Πολλαπλά vectors επιθέσεων

Η ομάδα Dragonfly έχει χρησιμοποιήσει τουλάχιστον 3 τακτικές μόλυνσης των στόχων της στον ενεργειακό τομέα. Η πιο πρόσφατη μέθοδος ήταν μία email spam καμπάνια, που έστελνε σε επιλεγμένα στελέχη των εταιρειών στόχων email που περιελάμβανε ένα κακόβουλο PDF συνημμένο αρχείο. Το μολυσμένο email είχε έναν από τους δύο τίτλους: “The account” or “Settlement of delivery problem”. Όλα τα email προέρχονταν από μία διεύθυνση Gmail.

Η καμπάνια spam ξεκίνησε το Φεβρουάριο του 2013 και συνεχίστηκε μέχρι τον Ιούνιο του 2013. Η Symantec εντόπισε 7 διαφορετικούς οργανισμούς που στόχευσε αυτή η καμπάνια. Ο αριθμός των email που έλαβε ο κάθε οργανισμός κυμάνθηκε από ένα έως 84.

Οι επιτιθέμενοι άλλαξαν στην πορεία την εστίασή τους στις επιθέσεις τύπου watering hole, παραβιάζοντας μία σειρά ιστοσελίδων που έχουν σχέση με την ενέργεια και εγκαθιστώντας ένα iframe σε καθένα από αυτά, το οποίο έκανε redirect τους επισκέπτες σε άλλο μολυσμένο νόμιμο website που φιλοξενούσε το Lightsout exploit kit. Το Lightsout εκμεταλλεύεται τα Java και Internet Explorer με στόχο να εγκαταστήσει τα Oldrea ή Karagany στον υπολογιστή του θύματος. Το γεγονός ότι οι επιτιθέμενοι παραβίασαν μία σειρά νόμιμων ιστοσελίδων για κάθε στάδιο αυτής της δραστηριότητας δείχνει ότι η ομάδα έχει ισχυρές τεχνικές δυνατότητες.

Τον Σεπτέμβριο του 2013, το Dragonfly άρχισε να χρησιμοποιεί μία νέα έκδοση του exploit kit, γνωστού ως Hello exploit kit. Η σελίδα αυτού του Kit περιλαμβάνει Javascript το οποίο παίρνει δαχτυλικά αποτυπώματα του συστήματος, εντοπίζοντας εγκατεστημένα browser plugins. Το θύμα ανακατευθύνεται σε URL, το οποίο με τη σειρά του αποφασίζει ποιο είναι το καλύτερο μέσο για να συλλεχθούν οι απαιτούμενες πληροφορίες.

Trojanized λογισμικό

Το πιο φιλόδοξο μέσο επίθεσης που χρησιμοποιήθηκε από το Dragonfly ήταν η παραβίαση μίας σειράς νόμιμων πακέτων λογισμικού. Τρεις διαφορετικοί προμηθευτές ICS εξοπλισμού παραβιάστηκαν και το malware ενσωματώθηκε στο λογισμικό που ήταν διαθέσιμο για download από τις αντίστοιχες ιστοσελίδες. Και οι τρεις εταιρείες κατασκεύαζαν εξοπλισμό που χρησιμοποιούταν σε βιομηχανικούς κλάδους, συμπεριλαμβανομένης της ενέργειας.

Το πρώτο Trojanized λογισμικό που εντοπίστηκε ήταν ένα προϊόν που παρέχει VPN πρόσβαση σε συσκευές προγραμματισμού και ελέγχου (PLC). Ο προμηθευτής ανακάλυψε την επίθεση σχεδόν αμέσως μετά την παραβίαση αλλά ήδη υπήρξαν 250 downloads του παραβιασμένου λογισμικού.

Η δεύτερη εταιρεία που παραβιάστηκε ήταν μία Ευρωπαία κατασκευάστρια ειδικών PLC συσκευών. Σε αυτή την περίπτωση, ένα λογισμικό που περιέχει ένα driver για μία από τις συσκευές της εταιρείας παραβιάστηκε. Η Symantec εκτιμά ότι το Trojanized λογισμικό ήταν διαθέσιμο για χρήση για τουλάχιστον 6 εβδομάδες τον Ιούνιο και τον Ιούλιο του 2013.

Η τρίτη εταιρεία που έγινε επίθεση ήταν μία Ευρωπαϊκή επιχείρηση που αναπτύσσει συστήματα που διαχειρίζονται αιολικές τουρμπίνες, εργοστάσια βιοαερίου, και άλλες ενεργειακές υποδομές. Η Symantec εκτιμά ότι το παραβιασμένο λογισμικό μπορεί να ήταν διαθέσιμο για χρήση 10 ημέρες τον Απρίλιο του 2014.

Η ομάδα Dragonfly είναι τεχνικά πεπειραμένη και ικανή για στρατηγική σκέψη. Σκεπτόμενοι το μέγεθος ορισμένων εκ των στόχων της, η ομάδα βρήκε ένα “soft underbelly” παραβιάζοντας τους προμηθευτές τους, που είναι κατά κανόνα μικρότεροι, και λιγότερο προστατευμένοι.

Για περισσότερες τεχνικές πληροφορίες διαβάστε το whitepaper εδώ.

 

Loading