Dragonfly: le aziende energetiche occidentali sotto la minaccia di sabotaggio
Una campagna di spionaggio informatico attualmente in corso contro una serie di obiettivi, prevalentemente nel settore energetico, ha dato agli autori degli attacchi la possibilità di allestire operazioni di sabotaggio contro le proprie vittime. Gli autori degli attacchi, noti a Symantec con il nome di Dragonfly, sono riusciti a compromettere diverse organizzazioni strategicamente importanti a fini di spionaggio e, se avessero utilizzato le capacità di sabotaggio a loro disposizione, avrebbero potuto causare danni o interruzioni alla fornitura di energia nei paesi interessati.
Gli obiettivi di Dragonfly sono stati operatori della rete energetica, importanti aziende di produzione elettrica, gestori di oleodotti petroliferi e fornitori di apparecchiature industriali per il settore energetico. La maggior parte delle vittime si trovano in Stati Uniti, Spagna, Francia, Italia, Germania, Turchia e Polonia.
Il gruppo Dragonfly ha una buona dotazione di risorse, con strumenti malware a propria disposizione e la capacità di lanciare attacchi mediante diversi vettori. La campagna di attacco più ambiziosa lo ha visto compromettere vari fornitori di sistemi di controllo industriale (ICS, Industrial Control System) infettando il loro software con un Trojan di accesso remoto. Le aziende si sono così ritrovate a installare il malware durante il download degli aggiornamenti software dei computer che gestiscono l’apparecchiatura ICS. Oltre ad essere una testa di ponte per entrare nelle reti delle organizzazioni prese di mira, queste infezioni hanno anche fornito agli autori dell’attacco i mezzi per allestire operazioni di sabotaggio contro i computer ICS infettati.
Questa campagna segue le orme di Stuxnet, la prima importante campagna di malware nota per avere colpito i sistemi ICS. Mentre l’obiettivo di Stuxnet era circoscritto al programma nucleare iraniano e aveva il sabotaggio come proprio obiettivo primario, Dragonfly ha una portata molto più ampia con lo spionaggio e l’accesso persistente come obiettivo attuale e il sabotaggio come possibilità opzionale se richiesto.
Oltre a compromettere il software ICS, Dragonfly ha utilizzato campagne di spam e attacchi di tipo watering hole per infettare le organizzazioni prese di mira. Il gruppo ha utilizzato due strumenti malware principali: Backdoor.Oldrea e Trojan.Karagany. Il primo sembra essere malware personalizzato, scritto da o per gli autori degli attacchi.
Prima della pubblicazione, Symantec ha avvisato le vittime e le autorità nazionali preposte, come i CERT (Computer Emergency Response Center) che gestiscono e rispondono agli incidenti di sicurezza in Internet.
Dragonfly: informazioni generali
Il gruppo Dragonfly, noto ad altri vendor anche con il nome Energetic Bear, sembra essere in attività dal 2011 ma non si esclude che abbia iniziato anche prima. Dragonfly ha inizialmente preso di mira aziende della difesa e dell’industria aeronautica in Stati Uniti e Canada prima di spostare la sua attenzione sulle aziende che operano nel settore energetico in Stati Uniti e Europa all’inizio del 2013.
La campagna contro il settore energetico europeo e americano ha ampliato rapidamente il suo raggio d’azione. Da principio il gruppo ha iniziato a inviare malware in e-mail di phishing al personale delle aziende prese di mira. Successivamente, il gruppo ha potenziato la sua offensiva con attacchi di tipo watering hole, compromettendo i siti web tendenzialmente visitati da coloro che lavorano nel settore energetico allo scopo di reindirizzarli verso siti web che ospitavano un kit di exploit. Il kit di exploit introduceva quindi malware nel computer della vittima. La terza fase della campagna è stata l’introduzione di Trojan nei bundle di software autentico appartenenti a tre diversi produttori di apparecchiature ICS.
Dragonfly ha in sé i tratti distintivi di un’operazione sponsorizzata da uno stato nazionale, dimostrando un elevato livello di capacità tecniche. Il gruppo è in grado di sferrare attacchi mediante diversi vettori e di compromettere numerosi siti web di terze parti in questo processo. Dragonfly ha colpito molteplici organizzazioni nel settore energetico nell’arco di un lungo periodo di tempo. Il suo movente principale sembra essere lo spionaggio informatico, con il potenziale di sabotaggio come possibilità secondaria.
L’analisi degli orari di compilazione nel malware utilizzato dagli autori degli attacchi indica che il gruppo ha lavorato perlopiù da lunedì a venerdì, con attività prevalentemente concentrate in un periodo di tempo di nove ore che corrispondono all’orario lavorativo compreso tra le 9 e le 18 nel fuso orario UTC +4. In base a queste informazioni, è probabile che gli autori degli attacchi si trovino nell’Europa orientale.
Figure. Primi 10 paesi per infezioni attive (dove gli autori degli attacchi hanno sottratto informazioni dai computer infetti)
Strumenti utilizzati
Dragonfly utilizza due malware principali nei suoi attacchi. Entrambi sono malware di tipo RAT (Remote Access Tool) che consentono agli autori degli attacchi di accedere ai computer compromessi e controllarli. Lo strumento malware preferito da Dragonfly è Backdoor.Oldrea, noto anche come Havex o Energetic Bear RAT. Oldrea agisce come una back door per l’autore dell’attacco sul computer della vittima, consentendo di estrarre dati e installare altro malware.
Oldrea sembra essere un malware personalizzato, scritto o commissionato dal gruppo stesso. Questo fornisce qualche indicazione sulle capacità e risorse che sono alla base del gruppo Dragonfly.
Una volta installato sul computer di una vittima, Oldrea raccoglie le informazioni di sistema, insieme a elenchi di file, programmi installati e radice delle unità disponibili. Estrae inoltre i dati dalla rubrica Outlook del computer e i file di configurazione VPN. Questi dati vengono quindi scritti in un file temporaneo in formato crittografato prima di essere inviati a un server di comando e controllo remoto (C&C) controllato dall’autore dell’attacco.
La maggior parte dei server C&C sembra essere ospitata su server compromessi che eseguono sistemi di gestione dei contenuti; ciò indica che gli autori degli attacchi potrebbero avere utilizzato lo stesso exploit per ottenere il controllo di ciascun server. Oldrea comprende un pannello di controllo di base che consente a un utente autenticato di scaricare una versione compressa dei dati sottratti a ciascuna vittima.
Il secondo strumento utilizzato da Dragonfly è Trojan.Karagany. Diversamente da Oldrea, Karagany era disponibile nel mercato sommerso. Il codice sorgente della versione 1 di Karagany fu rivelato nel 2010. Symantec ritiene che Dragonfly possa aver preso questo codice sorgente modificandolo per i propri scopi. Questa versione è stata rilevata da Symantec come Trojan.Karagany!gen1.
Karagany è in grado di trasmettere i dati sottratti, scaricare nuovi file ed eseguire i file eseguibili su un computer infetto. È inoltre in grado di eseguire plugin aggiuntivi, come strumenti per raccogliere le password, acquisire screenshot e catalogare i documenti sui compute infetti.
Symantec ha rilevato che la maggior parte dei computer compromessi dagli autori degli attacchi è stata infettata con Oldrea. Karagany è stato utilizzato solo in circa il 5% delle infezioni. I due malware hanno funzionalità simili e i motivi che inducono gli autori degli attacchi a privilegiarne uno rispetto all’altro non sono noti.
Molteplici vettori di attacco
Il gruppo Dragonfly ha utilizzato almeno tre tattiche di infezione contro gli obiettivi nel settore energetico. Il primo metodo è stato una campagna di spam, nel corso della quale dirigenti e dipendenti senior selezionati nelle aziende da colpire hanno ricevuto e-mail contenenti un allegato PDF nocivo. La riga di oggetto delle e-mail infette era “The account” o “Settlement of delivery problem”. Tutte le e-mail provenivano da un unico indirizzo Gmail.
La campagna di spam è iniziata a febbraio 2013 ed è proseguita fino a giugno 2013. Symantec ha identificato sette diverse organizzazioni prese di mira da questa campagna. Il numero di e-mail inviate a ciascuna organizzazione variava da 1 a 84.
Gli autori degli attacchi si sono poi concentrati su attacchi di tipo watering hole, prendendo di mira diversi siti web correlati al settore energetico e iniettando in ciascuno di essi un iframe che reindirizzava i visitatori verso un altro sito web legittimo compromesso contenente il kit di exploit Lightsout. Lightsout sfrutta Java o Internet Explorer per collocare Oldrea o Karagany sul computer della vittima. Il fatto che gli autori degli attacchi abbiano compromesso diversi siti web legittimi per ciascuna fase dell’operazione è un’ulteriore prova della notevoli capacità tecniche del gruppo.
Nel mese di settembre del 2013, Dragonfly ha iniziato a utilizzare una nuova versione di questo kit di exploit, noto come kit di exploit Hello. La pagina di destinazione di questo kit contiene codice JavaScript che rileva l’impronta digitale del sistema, identificando i plugin del browser installati. La vittima viene quindi reindirizzata a un URL che a sua volta determina il migliore exploit da utilizzare in base alle informazioni raccolte.
Software trasformato in Trojan
Il vettore di attacco più ambizioso utilizzato da Dragonfly è stato la compromissione di una serie di pacchetti software autentici. Tre diversi fornitori di apparecchiature ICS sono stati presi di mira e il malware è stato inserito nei bundle di software che avevano reso disponibili per il download sui propri siti web. Tutte e tre le aziende producono apparecchiature utilizzate in diversi settori industriali, incluso il settore energetico.
Il primo software trasformato in Trojan identificato era un prodotto utilizzato per fornire accesso VPN a dispositivi di tipo PLC (Programmable Logic Controller). Il vendor ha scoperto l’attacco poco dopo che è stato sferrato, ma erano già stati effettuati 250 download del software compromesso.
La seconda azienda ad essere compromessa è stata un’azienda produttrice europea di dispositivi di tipo PLC specializzati. In questo caso, è stato compromesso un pacchetto software contenente un driver per uno dei dispositivi prodotti da questa azienda. Symantec stima che il software trasformato in Trojan sia stato disponibile per il download per almeno sei settimane tra giugno e luglio 2013.
Il terzo attacco ha colpito un’azienda europea che sviluppa sistemi per gestire turbine eoliche, impianti di biogas e altre infrastrutture per l’energia. Symantec ritiene che il software compromesso possa essere stato disponibile per il download per circa dieci giorni nel mese di aprile 2014.
Il gruppo Dragonfly è tecnicamente molto abile e in grado di pensare in modo strategico. Data la dimensione di alcuni dei suoi obiettivi, il gruppo ha individuato un “punto debole” compromettendone i fornitori, che sono in genere aziende più piccole e meno protette.
Dragonfly: La Protezione
Symantec ha attivato le seguenti rilevazioni che proteggeranno i clienti dal malware utilizzato in questi attacchi:
Rilevazioni antivirus
Firme di prevenzione delle intrusioni
Per ulteriori informazioni tecniche sugli attacchi di Dragonfly, scarica il white-paper di Symantec: Dragonfly Threat Against Western Energy Suppliers
