Dragonfly è una minaccia per le aziende energetiche. Nuova azione di Cyber-war

Dragonfly è una minaccia per le aziende energetiche. Nuova azione di Cyber-war

Con Dragonfly, un gruppo criminale al momento attuale ignoto è riuscito a trafugare informazioni dalle principali aziende del settore energetico. Alcuni indizi riconducono questi attacchi all'area russa e tra le possibili motivazioni ci sarebbe anche quella geopolitica

di Fabio Boneschi pubblicata il , alle 11:01 nel canale Sicurezza
 

È stata denominata operazione Dragonfly e prende il nome dal gruppo di hacker che l'hanno compiuta a partire dal febbraio del 2013. Per chi ancora non crede a scenari di guerra elettronica o di disastri simili più volte ipotizzati e descritti dagli addetti ai lavori, ecco un nuovo elemento concreto che potrebbe invitare a ricredersi. Gli esperti di Symantec hanno infatti scoperto che un'organizzazione criminale prendeva di mira i principali colossi energetici di tutti i continenti. E anche compagnie italiane sono state oggetto di questa attività criminale.

Ma andiamo per gradi e, dopo aver detto quando è iniziata l'azione di Dragonfly, cerchiamo di capire come era architettata questa iniziativa criminale. Abbiamo già detto che il target era costituito da aziende a vario titolo impegnate nel settore energetico; ecco, queste aziende in vari periodi sono state oggetto di attacchi di phishing mirati. Il messaggio email inviato proveniva da un indirizzo di Gmail e come allegato aveva un file .PDF realizzato appositamente per infettare il PC remoto con il codice di Oldrea, un trojan che permetteva così di portare l'attacco a una fase successiva.

Con Oldrea sul sistema remoto c'era la possibilità per Dragonfly di entrare in contatto con un server C&C attraverso il quale era possibile aggiornare il malware, cambiare la payload e condurre altre azioni. Oltre a questo trojan Dragonfly ha fatto uso anche di Karagany, un malware di tipo simile a Oldrea e disponibile da anni nell'underground del web. Pare che Dragonfly abbia modificato il codice di Karagany per i propri scopi.

Anche attraverso azioni di watering fall, il codice malevolo è stato portato sui sistemi delle vittime: in questo caso Dragonfly ha compromesso alcuni portali utilizzati dagli utenti, riuscendo così a trasferire su PC client il malware.

Nel tempo Dragonfly ha affiancato all'utilizzo dei due malware appena indicati e alle azioni di watering fall anche un sistema differente. Siamo infatti a maggio 2013 quando Dragonfly è stata in grado di compromettere i server utilizzati da varie software house per distribuire i propri prodotti e relativi aggiornamenti: anche in questo caso si tratta di software tipicamente utilizzati da aziende impegnate nel ramo energetico. Quest'ultima modalità di attacco conferma che il target è proprio quello dell'ambito energetico.

Dopo aver capito come Dragonfly operava occupiamoci di cosa veniva rubato dalle aziende. Il report di Symantec indica che ad essere oggetto di attenzione erano le credenziali di accesso ai vari sistemi informatici e alcuni file di setup per gli impianti di distribuzione energetica. Sono quindi informazioni delicate e si va ben oltre al semplice fine dimostrativo: infatti, questo materiale potrebbe essere rivenduto, o riutilizzato per ulteriori azioni.

Resta da capire chi si nasconde dietro Dragonfly. Su questo aspetto al momento attuale non esistono dati certi ma ci sono alcune evidenze che Symantec ha voluto condividere. Analizzando il codice malware si è notato che la sua creazione è riconducibile al fuso orario di Mosca e, dettaglio non di poco conto, le attività venivano condotte in giorni e orari lavorativi. È quindi lecito ipotizzare che chi ha orchestrato Dragonfly oppure chi è stato incaricato/pagato di fare un'operazione simile abbia operato dalla Russia.

Per ammissione di Symantec stessa le modalità di azione con cui è stata condotta Dragonfly assomigliano ad altre attività malevole organizzate ai danni di enti governativi. Pare si sia trattato di un'operazione di spionaggio industriale a tutti gli effetti: le informazioni trafugate al momento attuale non sono ancora state usate per eventuali azioni di sabotaggio, ma non è detto che tali dati possano essere riutilizzati in futuro.

Da parte degli esperti di sicurezza c'è il forte sospetto di trovarsi di fronte a un'azione le cui motivazioni siano di origine geopolitica. Stiamo infatti parlando della Russia e le cronache degli ultimi mesi descrivono uno scenario geopolitico molto complesso nel quale, ad esempio, il comparto energetico è decisamente strategico.

Abbiamo potuto parlare nelle scorse ore con Antonio Forzieri - esperto di sicurezza per Symantec - il quale ha sottolineato che Dragonfly è stata un'azione molto sofisticata e mirata: chi ha condotto l'attacco, dice Forzieri, aveva tempo e risorse per portarlo a termine. Le modalità fanno supporre che si sia trattato di un'azione di spionaggio riconducibile a motivazioni geopolitiche.

Symantec ha condiviso le proprie informazioni con altri colossi della sicurezza: infatti, in casi come Dragonfly esiste un vero e proprio network tra le aziende che serve a diffondere in tempi rapidi tutti i dettagli delle minacce. Gli utenti oggetto di questo tipo di attacco sono ora protetti e Symantec al momento attuale continua a monitorare la situazione per rilevare eventuali evoluzioni. Dopo aver garantito la sicurezza delle infrastrutture è però necessario che le autorità di polizia facciano il proprio lavoro di indagine, e a tal fine sono stati informati tutti i CERT (computer emergency response team) coinvolti.

Symantec non divulga i nomi delle aziende coinvolte, ma c'è un dato che deve invitare all'attenzione anche per il nostro Paese: l'8% degli attacchi condotti da Dragonfly hanno coinvolto aziende italiane impegnate nel campo energetico. Nella classifica stilata dagli esperti si posizionano davanti a noi Spagna, USA e Francia.

In passato l'azione di cybercrime più clamorosa è stata Stuxnet: in quel caso l'obiettivo era il sabotaggio del programma nucleare iraniano. Nel caso di Dragonfly lo scenario è ben diverso: il target non è circoscritto come per Stuxnet e ha coinvolto aziende di tutto il pianeta. In questo caso, inoltre, ci si è fermati all'azione di spionaggio senza portare a termine atti di sabotaggio vero e proprio.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy01 Luglio 2014, 12:51 #1
a maggio 2013 quando Dragonfly è stata in grado di compromettere i server utilizzati da varie software house per distribuire i propri prodotti e relativi aggiornamenti

evviva!
e anche tutto il resto è molto rassicurante... 2 anni di voragini di sicurezza...
qwertyuiop0000102 Luglio 2014, 00:48 #2

Opinabile - senza dati

This article is barely a journalist's opinion, or worse:

-it lacks of trustworthy data.

-Just from the fact that has been done with a Moscow time zone are we supposed to think it has been conduct by russians?

-Symantec belongs to which country?

-The fact the attacks happened during working time cannot be taken into account: there are robots. Which usually do these kinds of jobs at a set time which can be whatever. Same for the appeared source. Unless Symantec knows something...more...

-This article shows a typical american layout about news: was it just translated and published here?

-It is a well known fact that are the USA the ones which could take an advantage from an energetic crisis in UE, not Russia.

-The kind of attack reported by the article makes think about the usage of the Hearbleed bug: isn't it came from Usa all this? NSA didn't declare it used it?

Anyway, of course, all this, it's just an opinion...
fgpx7802 Luglio 2014, 14:12 #3
Originariamente inviato da: qwertyuiop00001
This article is barely a journalist's opinion, or worse:

-it lacks of trustworthy data.

-Just from the fact that has been done with a Moscow time zone are we supposed to think it has been conduct by russians?

-Symantec belongs to which country?

-The fact the attacks happened during working time cannot be taken into account: there are robots. Which usually do these kinds of jobs at a set time which can be whatever. Same for the appeared source. Unless Symantec knows something...more...

-This article shows a typical american layout about news: was it just translated and published here?

-It is a well known fact that are the USA the ones which could take an advantage from an energetic crisis in UE, not Russia.

-The kind of attack reported by the article makes think about the usage of the Hearbleed bug: isn't it came from Usa all this? NSA didn't declare it used it?

Anyway, of course, all this, it's just an opinion...


Exactly what I thought.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^