Una campagna di cyber spionaggio contro una serie di obiettivi, principalmente del settore dell’energia, ha fornito agli aggressori la capacità di lanciare operazioni di sabotaggio contro le loro vittime
Una campagna di cyber spionaggio contro una serie di obiettivi, principalmente del settore dell’energia, ha fornito agli aggressori la capacità di lanciare operazioni di sabotaggio contro le loro vittime. Gli aggressori, noti a Symantec come Dragonfly, sono riusciti a compromettere un gran numero di aziende strategicamente importanti per finalità di spionaggio e, se avessero usato le capacità di sabotaggio a loro disposizione, avrebbero potuto portare a danni o disordine all’approvvigionamento energetico nei paesi colpiti.
Tra gli obiettivi di Dragonfly ci sono stati gli operatori di energia di rete, grandi imprese di produzione di elettricità, gestori di oleodotti di petrolio, fornitori di attrezzatura industriale dell’industria energetica. Le vittime erano localizzate negli Stati Uniti, nel Regno Unito, in Germania, Turchia, Francia, Italia e Svizzera. Gli aggressori hanno inoltre colpito in Australia e Canada.
Il gruppo Dragonfly è ricco di risorse, con una serie di strumenti malware a sua disposizione ed è in grado di lanciare attacchi attraverso una serie di diversi vettori. La sua campagna di attacco più ambiziosa ha visto danneggiare una serie di fornitori di dispositivi di Sistema di Controllo Industriale (ICS), infettando il loro software con un accesso remoto di tipo Trojan. Questo ha causato alle aziende l’installazione del malware durante lo scaricamento degli aggiornamenti del software per i computer che eseguono dispositivi ICS. Queste infezioni non solo hanno dato agli aggressori una testa di ponte(cavallo di troia) nelle reti delle aziende selezionate, ma ha anche dato loro i mezzi per lanciare operazioni di sabotaggio contro i computer ICS infetti.
L’attacco segue le orme di Stuxnet, che fu la prima campagna di malware finalizzata a colpire i sistemi ICS. Mentre Stuxnet fu strettamente mirato al programma nucleare iraniano e ha avuto il sabotaggio come obiettivo primario, Dragonfly ha un focus molto più ampio: lo spionaggio, infatti, appare essere il suo obiettivo principale e il sabotaggio solo una seconda opzione.
Oltre a compromettere software ICS, Dragonfly ha utilizzato campagne di email di spam e attacchi watering hole per infettare aziende mirate. Il gruppo ha utilizzato due strumenti principali di malware: Trojan.Karagany e Backdoor.Oldrea. Il secondo sembra essere una parte personalizzata di malware, scritta sia da che per gli aggressori.
Lo scenario
Il gruppo Dragonfly, che è anche conosciuto da altri vendor come Energetic Bear, sembra essere in funzione dal 2011 ma potrebbe essere attivo da più tempo. Dragonfly ha focalizzato prima l’attenzione verso aziende della difesa e dell’aviazione negli Stati Uniti e in Canada, per poi spostarla principalmente alle aziende energetiche statunitensi ed europee nei primi mesi del 2013.
La campagna contro il settore energetico europeo e americano si è estesa rapidamente. Il gruppo ha iniziato spedendo malware in email di pishing al personale delle aziende selezionate. Successivamente ha aggiunto alla sua offensiva attacchi di watering hole, compromettendo i siti web visitati da chi lavora nel settore dell’energia per reindirizzare a siti web che ospitavano un exploit kit, che a sua volta consegnava malware ai computer della vittima. La terza fase della campagna era il “Trojanizing” di pacchetti software legittimi appartenenti a tre differenti produttori di dispositivi ICS.
Gli aggressori che sono dietro Dragonfly mostrano un’elevata capacità tecnica, lanciando attacchi attraverso molteplici vettori e compromettendo nel processo numerosi siti web di terze parti. Dragonfly ha preso di mira più organizzazioni nel settore dell’energia per molto tempo. Il suo motivo principale sembra essere il cyber spionaggio, con un eventuale attacco di sabotaggio in seconda battuta.
L’analisi della compilazione oraria (timestamps) sul malware utilizzato dagli aggressori indica che il gruppo ha lavorato per lo più tra lunedì e venerdì, con attività principalmente concentrate in uno slot di nove ore che corrisponde ad una giornata lavorativa 9:00 – 18:00.
Strumenti utilizzati
Dragonfly utilizza due pezzi principali di malware nei suoi attacchi. Entrambi sono malware della tipologia Remote Access Tool (RAT) in grado di fornire agli aggressori accesso e controllo ai computer compromessi. Lo strumento di malware preferito da Dragonfly è Backdoor.Oldrea, che è anche conosciuto come Havex or the Energetic Bear RAT. Oldrea agisce come una back door per gli aggressori sul computer della vittima, permettendo loro di estrarre dati e installare ulteriori malware.
Oldrea sembra essere un malware personalizzato, sia scritto dal gruppo stesso che creato per esso. Questo fornisce alcune indicazioni delle capacità e delle risorse dietro al gruppo Dragonfly.
Una volta installato sul computer della vittima, Oldrea raccoglie informazioni di sistema, liste di file, programmi installati e la radice delle unità disponibili. È in grado, inoltre, di estrarre i dati dalla rubrica di Outlook e i file di configurazione VPN. Tali dati vengono successivamente scritti in un file temporaneo in un formato crittografato prima di essere inviato ad un server remoto di Command and Controlo (C&C) controllato dagli aggressori.
La maggior parte dei server C&C pare essere ospitata su server compromessi che eseguono sistemi di content management, che indica che gli aggressori potrebbero aver utilizzato lo stesso exploit per ottenere il controllo di ogni server. Oldrea dispone di un pannello di controllo di base che consente ad uno user autenticato di scaricare una versione compressa dei dati rubati per ogni particolare vittima.
Il secondo strumento principale usato da Dragonfly è Trojan.Karagany. A differenza di Oldrea, Karagany era disponibile sul mercato illegale. Il codice sorgente per la versione 1 di Karagany è venuto alla luce nel 2010. Secondo Symantec Dragonfly potrebbe aver preso questo codice sorgente e averlo modificato per il suo uso proprio. Questa versione è rilevata da Symantec come Trojan.Karagany!gen1.
Karagany è in grado di effettuare l’upload dei dati rubati, il download di nuovi file e l’esecuzione di file eseguibili su un computer infetto. È inoltre in grado di eseguire plugin aggiuntivi, come strumenti per la raccolta di password, ottenimento di screenshot e catalogazione di documenti su computer infetti.
Symantec ha scoperto che la maggior parte dei computer compromessi sono infettati con Oldrea. Karagany, invece, è stato usato solo nel 5 per cento circa delle infezioni. I due pezzi di malware sono simili nelle funzionalità e che cosa spinge gli aggressori a scegliere uno strumento piuttosto che un altro rimane sconosciuto.
Vettori di attacco multipli
Il gruppo Dragonfly ha utilizzato almeno tre tattiche di infezione contro obiettivi nel settore dell’energia. Il primo metodo è stato una campagna di email di spam, che ha visto selezionati dirigenti e dipendenti di alto livello delle compagnie ricevere email contenenti un allegato PDF dannoso. Le email infette avevano come oggetto “L’account” o “Accordo di problema di consegna”. Tutte le email provenivano da un singolo indirizzo di Gmail.
La campagna di spam ha avuto inizio nel febbraio 2013 ed è continuata fino a giugno 2013. Symantec ha identificato sette differenti aziende selezionate in questo attacco. Il numero di email spedite ad ogni azienda variava da uno a 84.
Gli aggressori hanno poi spostato la loro attenzione sugli attacchi watering hole, comprendente un numero di siti web relativi all’energia e iniettando un iframe in cui ciascun visitatore era reindirizzato ad un altro sito web legittimo compromesso, ospitante il Lightsout Exploit Kit. Questo a sua volta sfrutta Java o Internet Explorer per far entrare Oldrea o Karagany sul computer della vittima. La compromissione di più siti web legittimi per ogni fase dell’operazione è la prova ulteriore che il gruppo ha forti capacità tecniche.
Nel settembre 2013, Dragonfly ha iniziato ad utilizzare una nuova versione di questo exploit kit, conosciuto come l’Hello Exploit Kit. La pagina contiene JavaScript quali impronte digitali di sistema, individuando i plugin del browser installati. La vittima è poi reindirizzata ad un URL che a sua volta determina il miglior exploit da utilizzare in base alle informazioni raccolte nella fase precedente.
Software Trojanized (Software colpiti da Trojan)
Il vettore di attacco più ambizioso utilizzato da Dragonfly è stato la compromissione di un numero di pacchetti software legittimi. Tre diversi fornitori di dispositivi ICS sono stati presi di mira e il malware è stato inserito nel bundle del software che avevano reso disponibile per il download sui loro siti web. Tutte e tre le aziende realizzano attrezzatura utilizzate in numerosi settori industriali, tra cui l’energia.
Il primo software Trojanized identificato era un prodotto utilizzato per fornire un accesso VPN a dispositivi di tipo Programmable Logic Controller (PLC). Il vendor ha scoperto l’attacco poco dopo che è stato lanciato , ma erano stati effettuati già 250 download unici del software compromesso.
La seconda azienda ad essere colpita è stata un produttore europeo specialista di dispositivi di tipo PLC. In questo caso, un pacchetto software contenente un driver per uno dei suoi dispositivi è stato compromesso. Symantec stima che il software Trojanizes è stato disponibile per il download per almeno sei settimane di giugno e luglio 2013.
La terza azienda attaccata era una società europea che ha sviluppato sistemi per la gestione delle turbine eoliche, impianti biogas e altre infrastrutture energetiche. Symantec ritiene che il software compromesso potrebbe essere stato disponibile per il download per circa 10 giorni nell’aprile 2014.
Il gruppo Dragonfly è tecnicamente capace e in grado di pensare strategicamente. Considerata la dimensione di alcuni dei suoi obiettivi, il gruppo ha trovato un “ventre molle” compromettendo i loro fornitori, che sono aziende più piccole e meno protette.