Na rozsáhlé odhalené útoky ve svém pondělním reportu upozornila antivirová a bezpečnostní společnost Symantec. Její zjištění poukazuje na to již známé aktivity skupiny nazvané Energetic Bear, která je aktivní minimálně od roku 2011. Symantec tu samou skupinu pojmenoval jako Dragonfly.
Na působení Energetic Bear v roce 2012 upozornila společnost CrowdStrike, která tehdy poukázala na útoky vedené proti dodavatelům amerického a kanadského ministerstva obrany. Aktivity této skupiny hackerů ale evidentně narůstají. CrowdStrike už mluví o tom, že Energetic Bear útočí i na finanční sektor, konkrétně tedy na tu jeho část, která investuje právě do energetiky.
Analýzy Symantecu mluví o tom, že se Dragonfly stala v posledních šesti měsících mnohem aktivnějším subjektem. Na rostoucí aktivitu upozorňuje také firma F-Secure.
Důkazy míří do Ruska
Důkazy, které jednotliví výzkumníci předkládají, směřují do Ruska. CrowdStrike už dříve upozorňoval, že je Energetic Bear sponzorována a podporována tamní vládou. Tomu nasvědčují i poslední informace od Symantecu. Útoky jsou například vedeny ve všední dny od deváté hodiny ráno do šesté hodiny večer východoevropského času. Vypadá to tedy, jako kdyby hackeři chodili do práce jako běžní zaměstnanci.
Důkazy toho, že by hackerské útoky způsobily nějaké fyzické škody, nejsou. S největší pravděpodobností tak jde o průmyslovou špionáž. Zvýšená aktivita Energetic Bear v posledních měsících může kopírovat politický vývoj mezi západem a Ruskem, který začíná ovlivňovat právě obchod s plynem a ropou.
Aktuální útoky na energetické společnosti a subjekty mohly podle odhadů postihnout až 250 společností. Celkově už se ale ruská skupina údajně dostala do více než tisícovky organizací v 84 zemích po celém světě. Kromě sektoru s plynem, ropou a energetickou s „energetický medvěd“ dostal také do mnoha průmyslových firem.
Energetic Bear umí na dálku převzít kontrolu nad průmyslovými softwarovými systémy. Jde v podstatě o něco podobného, čím byl svého času Stuxnet. Ten byl naopak podporován Spojenými státy a Izraelem, aby sabotoval Íránský jaderný program. Dragonfly nicméně údajně operuje na mnohem vyšší úrovni a zatímco cílem Stuxnetu byla v prvé řadě sabotáž, zřejmě tedy ruská skupina se snaží dlouhodobě získávat informace o rozvodných sítích a podobně.
Stáhněte si aktualizaci. S virem
Útočníci Dragonfly používají různé metody útoku, které se postupně vyvíjí. Úspěšní jsou ale především s metodou známou jako „watering hole attack“. V rámci ní se nesnaží útočit přímo na pracovníky dané instituce, ale vyhlédnou si služby, které často používá, a infikují pak je. Malware se pak do průmyslových systémů často dostane touto cestou.
Útoky navíc ani není nutné vést přímo proti jednotlivým firmám. Energetic Bear se podařilo napadnout výrobce oněch průmyslových kontrolních systémů, které další společnosti a organizace nasazují. Jakmile tedy svůj software aktualizují, „chytnou vir“. Takto napadeni údajně měli být tři velcí výrobci.
Dragonfly je podle informací bezpečnostních společností na velice dobré technické úrovni a své průniky velice dobře schovává a šifruje, což opět poukazuje na to, že musí jít o státem podporované aktivity.
Skupina často využívá nástroje známé jako Backdoor.Oldrea a Trojan.Karagany. Druhý zmiňovaný byl například nějakou dobu dostupný na černém trhu a je zřejmé, že si ho v Energetic Bear sami modifikovali. Instalovaný trojský kůň pak umí třeba sledovat obrazovku, zaznamenávat komunikaci a mnoho dalších tradičních funkcí pro digitální špehování.
