Symantec advarer om en pågående kyberspionasje-kampanje rettet mot en rekke ulike mål, særlig innen energisektoren i USA og Europa. Forsvars- og luftfartsindustrien skal også har vært rammet tidligere. De fleste av ofrene så langt holder til i USA, Spania, Frankrike, Italia, Tyskland, Tyrkia og Polen.
Bak kampanjen står en gruppe angripere som ifølge Symantec blir kalt «Dragonfly».
Foreløpig skal gruppen ha klart å kompromittere en rekke strategisk viktige organisasjoner for å få tilgang til informasjon, men innbruddene kunne like gjerne ha åpnet for sabotasje mot energileverandører i en rekke land. De berørte ofrene holder i stor grad til i USA, Spania, Frankrike, Italia, Tyskland, Tyrkia og Polen. I Norden skal én eller flere aktører i Danmark være berørt.
– Vi ser at Dragonfly har valgt å gå via underleverandører for å nå sine primære mål, sier Per Hellqvist, sikkerhetsekspert i Symantec i en pressemelding.
Han uttaler seg første og fremst om Sverige og mener at det er flaks at svenske selskaper ikke har blitt rammet denne gang. Hellqvist sier videre at angrepene viser hvor viktig det er at hele produksjonkjeden ut til kunden både har en omfattende sikkerhetsstrategi og sikkerhetssystemer på plass.
Det er ikke oppgitt at norske virksomheter er berørt av angrep fra Dragonfly.
Vanlig arbeidstid
Dragonfly-gruppen er trolig svært godt organisert. Ifølge Symantec skal gruppen ha vært virksom helt siden 2011, men først i 2013 begynte de å rette blikket mot energisektoren.
En litt artig observasjon som er gjort, er at det ser ut til at medlemmene av gruppa har temmelig fast arbeidstid, ni timer hver dag fra mandag til fredag. Ut fra tidspunktene på døgnet dette skjer, antar man at det kan dreie seg om mellom klokken 9 og 18 i Moskva-tid (UTC + 4). Tidspunktene er oppgitt i skadevare som har blitt brukt i angrepene. Symantec mener at Dragonfly bærer kjennetegnene til en statssponset operasjon, antagelig utført fra et land i Øst-Europa.
Minner om Stuxnet
Ifølge Symantec bruker Dragonfly metoder som kan minne om Stuxnet, som først og fremst ble brukt til å sabotere det iranske kjernekraftprogrammet. Blant annet har det blitt fokusert på å infisere programvareoppdateringer fra tredjepartsleverandører av industrielle styresystemer (ICS) med en spesiell trojaner som kan fjernstyres.
De aktuelle styresystemene brukes ofte innen energisektoren. Dette har ført til at selskaper har fått installert skadevare på datamaskinene som brukes til i kjøre styresystemene når styresystemene har blitt oppdatert. Oppdateringer fra minst tre ulike leverandører av ICS-utstyr har blitt berørt av dette.
Dragonfly tidligere også spredt skadevare gjennom såkalte vannhullangrep mot utvalgte virksomheter, samt gjennom utsendelse av e-post med ondsinnede PDF-vedlegg. Det er først og fremst skadevaren Backdoor.Oldrea og Trojan.Karagany som har blitt brukt i angrepene.
Den første trojanerutsatte programvaren som ble identifisert var ifølge Symantec et produkt som brukes til å levere VPN-tilgang på enheter av typen PLC (Programmable Logic Controller). Angrepet skal raskt ha blitt oppdaget av leverandøren selv, men da hadde oppdateringene allerede blitt lastet ned 250 ganger.
Det andre selskapet som ble kompromittert var en europeisk produsent av spesielle PLC-enheter. Trojaneren skal ha blitt plassert i en pakke med driverprogramvare til én av selskapets enheter. Det antas at det den infiserte programvaren var tilgjengelig for nedlasting i minst seks uker i fjor sommer.
Det tredje selskapet er også europeisk. Det utvikler systemer for administrasjon av vindturbiner, biogass-anlegg og annen energi-infrastruktur. Den infiserte programvaren antas å ha vært tilgjengelig i omtrent ti dager i april i år.
Symantec har offentliggjort langt flere detaljer om kampanjen på denne siden og i dette dokumentet.
Les også:
- [04.11.2013] BadBIOS – urban myte eller supertrojaner?
- [09.04.2013] US Airforce utvikler seks kybervåpen
- [28.02.2013] Stuxnet mye eldre enn antatt
- [20.06.2012] - Flame skulle bremse Irans atomprogram
- [28.03.2012] – USA bak Stuxnet
- [21.11.2011] USA-vannverk hacket
- [14.11.2011] Duqu traff Irans atomanlegg
- [30.11.2010] Bekrefter datasabotasje mot atomanlegg
- [24.11.2010] Oppklarende om Stuxnet-ormen
- [30.08.2010] Windows-hull truer strøm og vann
- [21.07.2010] - Ikke bytt passord
