Хакеры «Стрекозы» атакуют коммунальные предприятия в рамках трехстороннего проекта кибершпионажа.
Еще одним свидетельством растущей волны кибершпионажа является то, что преступники получили доступ к жизненно важным системам потенциально сотен европейских энергетических компаний, используя сложная трехсторонняя кампания взлома — потенциально позволяя им нарушить поставки энергоносителей по всему региону.
Широкомасштабные нападения были организованы группой, действующей в Восточной Европе (вероятно, спонсируемой государством). были сосредоточены на шпионаже, однако вторжения также дали злоумышленникам возможность «организовать диверсионные операции против своих жертвы", Symantec сказал.
По мнению охранного предприятия, если бы группа, получившая название «Стрекоза», прибегла к диверсии имеющихся в его распоряжении возможностей, оно «могло нанести ущерб или сбой в поставках энергии в пострадавших районах». страны».
Целью Dragonfly были операторы энергетических сетей, компании по производству электроэнергии, операторы нефтепроводов и поставщики промышленного оборудования для энергетической отрасли, сообщила Symantec. Жертвы находились в США, Испании, Франции, Италии, Германии, Турции и Польше.
«Dragonfly несет в себе отличительные черты операции, спонсируемой государством, и демонстрирует высокую степень технических возможностей», — заявили в Symantec. «Его нынешним главным мотивом, по-видимому, является кибершпионаж, при этом потенциал саботажа является явно второстепенным потенциалом».
Прочитай это
НАТО обновляет политику киберзащиты, поскольку цифровые атаки становятся стандартной частью конфликта
Прочитай сейчасХотя кибершпионаж широко распространен, особую тревогу вызывает предположение о том, что хакерские атаки могли поставить компании под угрозу саботажа. Эксперты предупредили, что ряд государств исследуют критически важную инфраструктуру других стран, чтобы выявить слабые места. этим можно было бы воспользоваться, если бы когда-либо произошли военные действия. В ответ на использование цифровых атак в недавних международных конфликтах НАТО обновила свою политику киберзащиты, чтобы дать понять, что при определенных обстоятельствах кибернападение может быть обработанный как эквивалент нападения с использованием обычного оружия.
Symantec заявила, что группа Dragonfly, судя по всему, ранее нападала на оборонные и авиационные компании. в США и Канаде, а затем в начале прошлого года переключил свое внимание главным образом на американские и европейские энергетические компании. год.
Ее недавняя кампания состояла из трех этапов: во-первых, группа рассылала фишинговые электронные письма, содержащие вредоносное ПО, сотрудникам целевых фирм — в основном энергетических компаний США и Великобритании. Эти электронные письма с вложениями в формате PDF предположительно представляли собой сообщения о стандартных действиях администратора офиса, таких как работа с учетной записью или проблемы с доставкой.
На втором этапе хакеры взломали веб-сайты, которые, вероятно, посещают работники энергетического сектора. чтобы перенаправить их на веб-сайты, на которых размещен набор эксплойтов, который затем доставляет вредоносное ПО на компьютер жертвы.
Но самая амбициозная атака в кампании привела к тому, что хакеры скомпрометировали ряд поставщиков оборудования промышленных систем управления (ICS), заразив их программное обеспечение. В результате, когда энергетические компании загружали программное обеспечение АСУ ТП, они также устанавливали вредоносное ПО. До того, как это произошло с одним поставщиком, уже было 250 загрузок скомпрометированного программного обеспечения.
В число других фирм, подвергшихся нападению, входили компания, производящая устройства программируемых логических контроллеров, и компания, которая разработала системы для управления ветряными турбинами, биогазовыми установками и другими источниками энергии. инфраструктура.
«Эти инфекции не только дали злоумышленникам плацдарм в сетях целевых организаций, но также дало им возможность проводить диверсионные операции против зараженных компьютеров АСУ», — заявили в Symantec. отмеченный.
Symantec заявила, что ее исследование показывает, что группа работала с понедельника по пятницу, причем активность в основном сосредоточено в течение девяти часов, что соответствует рабочему дню с 9:00 до 18:00 по времени UTC +4. зона. «Исходя из этой информации, вполне вероятно, что злоумышленники базируются в Восточной Европе», — говорится в сообщении.
В своих атаках хакеры использовали два основных вредоносных ПО, которые давали злоумышленникам контроль над взломанными компьютерами. «Oldrea», которая, по словам Symantec, представляет собой специальное вредоносное ПО, либо написанное самой группой, либо созданное для него собирает системную информацию, а также списки файлов, установленных программ и корневых каталогов доступных диски. Вторая использованная вредоносная программа — Trojan. Караганы — имел аналогичный эффект, но более широко доступен на подпольном рынке.
дальнейшее чтение
- НАТО обновляет политику киберзащиты, поскольку цифровые атаки становятся стандартной частью конфликта
- Внутри тайной гонки цифровых вооружений: перед угрозой глобальной кибервойны
- Крупнейшая в истории кибервоенная игра проверяет обороноспособность Европы
- Организованные группы киберпреступников теперь столь же могущественны, как и государства