Sempre più alta la minaccia di attacchi informatici a realtà del settore energetico

Sempre più alta la minaccia di attacchi informatici a realtà del settore energetico

Torna sulle scene il colletivo Dragonfly: non si conoscono le sue origini, ma le sue attività sono estremamente mirate e concentrate su realtà appartenenti al settore energetico

di Andrea Bai pubblicata il , alle 19:21 nel canale Sicurezza
Symantec
 

Symantec ha pubblicato una serie di considerazioni su una pericolosa tendenza che si sta riaffermando nel corso degli ultimi anni: le aziende del settore energetico in Europa e in Nord America sono sempre più prese di mira da una nuova ondata di attacchi che possono consentire, ai loro autori, di disporre dei mezzi per compromettere in maniera significativa l'operatività degli impianti di produzione, stoccaggio e distribuzione dell'energia elettrica.

Il settore energetico è divenuto un'area di sempre maggior interesse per i cybercriminali nel corso degli ultimi due anni. Nel 2015 e nel 2016 l'attacco informatico alle centrali elettriche in Ucraina hanno portato a disservizi che hanno avuto ricadute su centinaia di migliaia di persone e nei mesi recenti vi sono stati alcuni tentativi di attacco alle reti elettriche di altri paesi Europei, così come la compromissione di sistemi informatici di società che gestiscono impianti nucleari negli USA.

Sembra che alle spalle di questi attacchi vi sia un collettivo conosciuto con il nome di Dragonfly, che è operativo almeno dal 2011 ed è riemerso negli ultimi due anni dopo un periodo di pausa. Il gruppo sembra essere interessato sia al modus operandi dei nuovi stabilimenti, sia nell'ottenere l'accesso ai sistemi operazionali così da poter costruire un insieme di conoscenze che possano permettere di ottenere il controllo di questi sistemi nel momento in cui decidessero di farlo.

Secondo le informazioni che Symantec ha raccolto nella sua indagine la nuova campagna di attacchi "Dragonfly 2.0" sembra essere stata avviata almeno alla fine del 2015, con tattiche e strumenti già usate nelle attività portate avanti in precedenza dal gruppo, e ha visto un'intensificazione nel corso di questo 2017. La società di sicurezza ha rilevato una serie di indicazioni "solide" di attività negli USA, in Turchia e in Svizzera e alcune tracce anche al di fuori di questi paesi.

Le prime attività identificate da Symantec in questa nuova ondata di operazioni è stata una campagna di email edulcorate costituita dalla diffusione di inviti fittizi ad un party di fine anno, avvenuta nel mese di dicembre 2015. Dragonfly avrebbe poi portato avanti altre campagne email nel 2016 e 2017, con messaggi interenti ad argomenti specifici dedicati al settore energetico. Una volta aperta la mail, l'allegato compromesso cerca di sottrarre le credenziali della rete inviandole ad un server al di fuori dell'organizzazione. A tal proposito a luglio anche Cisco aveva riscontrato una serie di attacchi basati su email che avevano preso di mira il settore energetico con un toolkit chiamato Phishery, in circolazione su GitHub sin dal 2016. Alcune delle email usate da Dragonfly hanno sfruttato il toolkit per rubare le credenziali alla vittima.

Oltre alla campagna di email, Symantec afferma che il gruppo di attaccanti ha fatto uso di tecniche watering hole per raccogliere credenziali di rete, compromettendo siti web che con alta probabilità vengono consultati da personale che opera nel settore energetico. Le credenziali sono state usate successivamente contro le organizzazioni prese di mira usando strumenti quali backdoor e trojan per riuscire ad ottenere, in ultima istanza, l'accesso remoto alla macchina della vittima.

Nelle attività di attacco condotte nel 2014 e anche in precedenza nel 2011 il gruppo Dragonfly ha compromesso software legittimo allo scopo di recapitare malware alle vittime. Nel corso del 2016 e del 2017 le analisi di Symantec portano a ritenere che il gruppo stia usando il framework Shellter per sviluppare applicazioni "trojanized", e in particolare una backdoor (Backdoor.Dorshel) è stata distribuita come versione trojanized di applicazioni Windows standard. Un'altra pratica ampiamente utilizzata per recapitare malware è quella degli falsi aggiornamenti di Flash, con gli utenti spinti ad effettuarli tramite tecniche di social engineering. Di norma gli attaccanti installano una o due backdoor sul sistema della vittima per poter ottenere l'accesso remoto e installare, quando e se necessario, strumenti aggiuntivi.

Symantec ha rilevato che vari strumenti usati nelle campagne recenti sono stati utilizzati anche in quelle del 2011 e del 2014, suggerendo come l'attore alle spalle di queste azioni possa essere lo stesso. In particolare il trojan Heriplor sembra essere stato usato esclusivamente da Dragonfly, in quanto non disponibile sul mercato nero del web e mai osservato in attacchi condotti da altri gruppi hacker noti. Si tratta di un trojan che è stato usato solamente contro bersagli del settore energetico. Un altro trojan, Karagany, è un'evoluzione di uno già usato in passato da Dragonfly e mostra somiglianze nei comandi, nei meccanismi di cifratura e nelle routine di codice.

La società di sicurezza precisa che le azioni di vero e proprio sabotaggio operativo sono normalmente precedute da una fase più o meno ampia di raccolta di informazioni sulle reti e sui sistemi dei bersagli, con l'acquisizione di credenziali: tutte risorse che vengono poi sfruttate in campagne successive come è accaduto per esempio nel caso dei famigerati Stuxnet e Shamoon. Ciò detto, la precedente campagna di attacchi Dragonfly è sembrata essere più una fase esplorativa dove cercare semplicemente l'accesso alle reti delle società prese di mira. Quanto sta avvenendo invece ora sembra essere una fase differente, di accesso a sistemi operazionali per raggranellare informazioni e dettagli da usare a scopi ancor più dannosi in futuro. Symantec ha riscontrato numerosi screen capture riferiti a macchine di controllo.

Allo stato attuale delle cose non è possibile determinare con esattezza l'origine di Dragonfly, ma la sua disponibilità di arsenale e le competenze che ha mostrato sul campo descrivono un gruppo sicuramente abile ed esperto. Alcune delle attività del gruppo sembrano inoltre essere portate avanti con il preciso scopo di rendere difficile poter determinare chi veramente esso sia. Una parte degli strumenti utilizzati, al di la di quelli citati poco sopra, sono ampiamente disponibili così da rendere più difficile l'attribuzione delle azioni. Gli attaccanti inoltre non fanno uso di falle zero-day, una peculiarità che può indicare sia il voler evitare elementi univoci ed "esclusivi", sempre a scopo di "mescolarsi tra la folla dei criminali", sia la mancanza di risorse per poter entrare in possesso di una di queste falle normalmente vendute a prezzi esorbitanti sempre sul mercato nero del web. Symantec ha inoltre rilevato all'interno del codice degli strumenti usati la presenza di commenti in russo e in francese, probabilmente un chiaro tentativo di depistaggio.

L'unica cosa chiara che emerge da tutto ciò è che il gruppo Dragonfly è un attore con grande esperienza, con la capacità di compromettere varie organizzazioni, di sottrarre informazioni e di ottenere l'accesso a sistemi chiave. Quali siano i suoi scopi ultimi ancora non è chiaro, ma le sue capacità possono senza alcuna ombra di dubbio compromettere pesantemente l'operatività dei suoi bersagli -che ricordiamo essere società che operano attivamente nel settore energetico- e causare danni materiali anche di notevole entità.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
D6909 Settembre 2017, 00:57 #1
Eh beh certo! non sanno più cosa inventarsi per alzare il prezzo e se ne escono con queste troja(n)ate...

Cioè questi prendono possesso dello stoccaggio e della produzione mandando una mail?

eh sì... perchè ai dipendenti invece di dare un computerino da 80€ staccato dalla rete aziendale, dove possono guardarsi tutti i pornazzi che vogliono e leggere le mail senza problemi, no, troppo difficile. Ci vogliono miliardi di investimenti in sicurezza, società informatiche al lavoro e via dicendo... ma questi DragonFly sono troppo bravi, gli fanno fare l'aggiornamento flash e fanno schizzare petrolio e corrente alle stelle... ovviamente una settimana dopo averci investito chissà quanti miliardi, tanto li paghiamo noi...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^