• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Speciale Sicurezza
  • Industry 4.0
  • Sanità Digitale
  • ReStart in Green
  • Redazione
  • Contattaci
ITIS MagazineITIS Magazine
    Facebook Twitter Vimeo LinkedIn RSS
    Trending
    • Autonomia veicoli elettrici: che impatto hanno temperatura e velocità?
    • LetExpo 2023 vi aspetta a Verona, dall’8 all’11 Marzo
    • Pulsanteria Harmony: arriva il LED “universale” per la gamma XB4/XB5
    • SPS Italia On Tour: la seconda tavola rotonda è a Roma
    • “Serve una politica industriale europea”
    • Cybersecurity Tour Telmotor sulla digitalizzazione
    • Interroll: più sicurezza per il settore Food and Beverage
    • Mandrino idraulico: BIG KAISER allunga la vita all’utensile
    Facebook Twitter Vimeo LinkedIn RSS
    ITIS Magazine ITIS Magazine
    • ReStart in Green
    • Stampa 3D
    • Simulazione
    • Progettazione
    • Sicurezza
    • Tecnologie
      • Tendenze
    • Industry 4.0
    • Appuntamenti
    • 5G
    ITIS MagazineITIS Magazine
    Sei qui:Home»Categorie Funzionali»Posizione Home Page»Dragonfly attacca le aziende energetiche
    Posizione Home Page

    Dragonfly attacca le aziende energetiche

    Di Massimiliano Cassinelli03/07/2014Lettura 8 Min
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Per il momento i Cybercriminali si stanno limitando allo spionaggio, ma si teme preparino un attacco

    DragonFly Energia

    Da Symantec Security Response

    I settori dell’energia sono sottoposti a una massiccia campagna di cyber spionaggio. Una raccolta di dati e informazioni che potrebbe aver fornito agli aggressori la capacità di lanciare operazioni di sabotaggio contro le loro vittime. Gli aggressori, noti a Symantec come Dragonfly, hanno infatti compromesso un gran numero di aziende strategicamente importanti e, se avessero usato le capacità di sabotaggio a loro disposizione, avrebbero potuto provocare a danni o disordine all’approvvigionamento energetico nei Paesi colpiti.

    Tra gli obiettivi di Dragonfly ci sono gli operatori di energia di rete, grandi imprese di produzione di elettricità, gestori di oleodotti, fornitori di attrezzatura industriale dell’industria energetica. Le vittime erano localizzate negli Stati Uniti, nel Regno Unito, in Germania, Turchia, Francia, Italia e Svizzera. Ma anche in Australia e Canada.

    Il gruppo Dragonfly è ricco di risorse, con una serie di strumenti malware a sua disposizione ed è in grado di lanciare attacchi attraverso una serie di diversi vettori. La sua campagna di attacco più ambiziosa ha visto danneggiare una serie di fornitori di dispositivi di Sistema di Controllo Industriale (ICS), infettando il loro software con un accesso remoto di tipo Trojan. Questo ha causato alle aziende l’installazione del malware durante lo scaricamento degli aggiornamenti del software per i computer che eseguono dispositivi ICS. Queste infezioni non solo hanno dato agli aggressori una testa di ponte(cavallo di troia) nelle reti delle aziende selezionate, ma ha anche dato loro i mezzi per lanciare operazioni di sabotaggio contro i computer ICS infetti.

    L’attacco segue le orme di Stuxnet, che fu la prima campagna di malware finalizzata a colpire i sistemi ICS. Mentre Stuxnet fu strettamente mirato al programma nucleare iraniano e ha avuto il sabotaggio come obiettivo primario, Dragonfly ha un focus molto più ampio: lo spionaggio, infatti, appare essere il suo obiettivo principale e il sabotaggio solo una seconda opzione.

    Oltre a compromettere software ICS, Dragonfly ha utilizzato campagne di email di spam e attacchi watering hole per infettare aziende mirate. Il gruppo ha utilizzato due strumenti principali di malware: Trojan.Karagany e Backdoor.Oldrea. Il secondo sembra essere una parte personalizzata di malware, scritta sia da che per gli aggressori.

    Lo scenario

    Il gruppo Dragonfly, che è anche conosciuto da altri vendor come Energetic Bear, sembra essere in funzione dal 2011 ma potrebbe essere attivo da più tempo. Dragonfly ha focalizzato prima l’attenzione verso aziende della difesa e dell’aviazione negli Stati Uniti e in Canada, per poi spostarla principalmente alle aziende energetiche statunitensi ed europee nei primi mesi del 2013.

    La campagna contro il settore energetico europeo e americano si è estesa rapidamente. Il gruppo ha iniziato spedendo malware in email di pishing al personale delle aziende selezionate. Successivamente ha aggiunto alla sua offensiva attacchi di watering hole, compromettendo i siti web visitati da chi lavora nel settore dell’energia per reindirizzare a siti web che ospitavano un exploit kit, che a sua volta consegnava malware ai computer della vittima. La terza fase della campagna era il “Trojanizing” di pacchetti software legittimi appartenenti a tre differenti produttori di dispositivi ICS.

    Gli aggressori che sono dietro Dragonfly mostrano un’elevata capacità tecnica, lanciando attacchi attraverso molteplici vettori e compromettendo nel processo numerosi siti web di terze parti. Dragonfly ha preso di mira più organizzazioni nel settore dell’energia per molto tempo. Il suo motivo principale sembra essere il cyber spionaggio, con un eventuale attacco di sabotaggio in seconda battuta.

    L’analisi della compilazione oraria (timestamps) sul malware utilizzato dagli aggressori indica che il gruppo ha lavorato per lo più tra lunedì e venerdì, con attività principalmente concentrate in uno slot di nove ore che corrisponde ad una giornata lavorativa 9:00 – 18:00.

    Immagine

    Fig.1

    : Ripartizione per paese delle relative infezioni malware di Dragonfly

    Strumenti utilizzati

    Dragonfly utilizza due pezzi principali di malware nei suoi attacchi. Entrambi sono malware della tipologia Remote Access Tool (RAT) in grado di fornire agli aggressori accesso e controllo ai computer compromessi. Lo strumento di malware preferito da Dragonfly è Backdoor.Oldrea, che è anche conosciuto come Havex or the Energetic Bear RAT. Oldrea agisce come una back door per gli aggressori sul computer della vittima, permettendo loro di estrarre dati e installare ulteriori malware.

    Oldrea sembra essere un malware personalizzato, sia scritto dal gruppo stesso che creato per esso. Questo fornisce alcune indicazioni delle capacità e delle risorse dietro al gruppo Dragonfly.

    Una volta installato sul computer della vittima, Oldrea raccoglie informazioni di sistema, liste di file, programmi installati e la radice delle unità disponibili. È in grado, inoltre, di estrarre i dati dalla rubrica di Outlook e i file di configurazione VPN. Tali dati vengono successivamente scritti in un file temporaneo in un formato crittografato prima di essere inviato ad un server remoto di Command and Controlo (C&C) controllato dagli aggressori.

    La maggior parte dei server C&C pare essere ospitata su server compromessi che eseguono sistemi di content management, che indica che gli aggressori potrebbero aver utilizzato lo stesso exploit per ottenere il controllo di ogni server. Oldrea dispone di un pannello di controllo di base che consente ad uno user autenticato di scaricare una versione compressa dei dati rubati per ogni particolare vittima.

    Il secondo strumento principale usato da Dragonfly è Trojan.Karagany. A differenza di Oldrea, Karagany era disponibile sul mercato illegale. Il codice sorgente per la versione 1 di Karagany è venuto alla luce nel 2010. Secondo Symantec Dragonfly potrebbe aver preso questo codice sorgente e averlo modificato per il suo uso proprio. Questa versione è rilevata da Symantec come Trojan.Karagany!gen1.

    Karagany è in grado di effettuare l’upload dei dati rubati, il download di nuovi file e l’esecuzione di file eseguibili su un computer infetto. È inoltre in grado di eseguire plugin aggiuntivi, come strumenti per la raccolta di password, ottenimento di screenshot e catalogazione di documenti su computer infetti.

    Symantec ha scoperto che la maggior parte dei computer compromessi sono infettati con Oldrea. Karagany, invece, è stato usato solo nel 5 per cento circa delle infezioni. I due pezzi di malware sono simili nelle funzionalità e che cosa spinge gli aggressori a scegliere uno strumento piuttosto che un altro rimane sconosciuto.

    Vettori di attacco multipli

    Il gruppo Dragonfly ha utilizzato almeno tre tattiche di infezione contro obiettivi nel settore dell’energia. Il primo metodo è stato una campagna di email di spam, che ha visto selezionati dirigenti e dipendenti di alto livello delle compagnie ricevere email contenenti un allegato PDF dannoso. Le email infette avevano come oggetto “L’account” o “Accordo di problema di consegna”. Tutte le email provenivano da un singolo indirizzo di Gmail.

    La campagna di spam ha avuto inizio nel febbraio 2013 ed è continuata fino a giugno 2013. Symantec ha identificato sette differenti aziende selezionate in questo attacco. Il numero di email spedite ad ogni azienda variava da uno a 84.

    Gli aggressori hanno poi spostato la loro attenzione sugli attacchi watering hole, comprendente un numero di siti web relativi all’energia e iniettando un iframe in cui ciascun visitatore era reindirizzato ad un altro sito web legittimo compromesso, ospitante il Lightsout Exploit Kit. Questo a sua volta sfrutta Java o Internet Explorer per far entrare Oldrea o Karagany sul computer della vittima. La compromissione di più siti web legittimi per ogni fase dell’operazione è la prova ulteriore che il gruppo ha forti capacità tecniche.

    Nel settembre 2013, Dragonfly ha iniziato ad utilizzare una nuova versione di questo exploit kit, conosciuto come l’Hello Exploit Kit. La pagina contiene JavaScript quali impronte digitali di sistema, individuando i plugin del browser installati. La vittima è poi reindirizzata ad un URL che a sua volta determina il miglior exploit da utilizzare in base alle informazioni raccolte nella fase precedente.

    Software Trojanized (Software colpiti da Trojan)

    Il vettore di attacco più ambizioso utilizzato da Dragonfly è stato la compromissione di un numero di pacchetti software legittimi. Tre diversi fornitori di dispositivi ICS sono stati presi di mira e il malware è stato inserito nel bundle del software che avevano reso disponibile per il download sui loro siti web. Tutte e tre le aziende realizzano attrezzatura utilizzate in numerosi settori industriali, tra cui l’energia.

    Il primo software Trojanized identificato era un prodotto utilizzato per fornire un accesso VPN a dispositivi di tipo Programmable Logic Controller (PLC). Il vendor ha scoperto l’attacco poco dopo che è stato lanciato , ma erano stati effettuati già 250 download unici del software compromesso.

    La seconda azienda ad essere colpita è stata un produttore europeo specialista di dispositivi di tipo PLC. In questo caso, un pacchetto software contenente un driver per uno dei suoi dispositivi è stato compromesso. Symantec stima che il software Trojanizes è stato disponibile per il download per almeno sei settimane di giugno e luglio 2013.

    La terza azienda attaccata era una società europea che ha sviluppato sistemi per la gestione delle turbine eoliche, impianti biogas e altre infrastrutture energetiche. Symantec ritiene che il software compromesso potrebbe essere stato disponibile per il download per circa 10 giorni nell’aprile 2014.

    Il gruppo Dragonfly è tecnicamente capace e in grado di pensare strategicamente. Considerata la dimensione di alcuni dei suoi obiettivi, il gruppo ha trovato un “ventre molle” compromettendo i loro fornitori, che sono aziende più piccole e meno protette.

    Protezione

    Symantec ha le seguenti rilevazioni sul posto che proteggeranno i client da malware utilizzati in questi attacchi:

    Rilevamenti antivirus

    • Backdoor.Oldrea
    • Trojan.Karagany
    • Trojan.Karagany!gen1

    Firme preventive di intrusione

    • Web Attack: Lightsout Exploit Kit
    • Web Attack: Lightsout Toolkit Website 4

    Per ulteriori dettagli tecnici sugli attacchi di Dragonfly, scaricare il whitepaper allegato.

     

    Dragonfly energia Security Stuxnet Symantec
    Condividi: Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Massimiliano Cassinelli

    Correlati

    Perché le imprese manifatturiere dovrebbero dotarsi di soluzioni di AI per contrastare i ransomware

    03/02/2023

    Idrogeno: COMSOL ci porta alla scoperta delle tecnologie di simulazione

    27/01/2023

    Sistemi di controllo industriale: nuove minacce all’orizzonte

    20/01/2023
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    Vectra AI: tecnologia NDR sempre più protagonista
    Hikvision Trasmission&Display e iStorage: a che punto siamo?
    Hikvision: termografia in espansione
    Nuove frontiere della robotica con Raise
    Poliambulatorio Privato C.T.R. sceglie la tecnologia di ELO Digital Office
    Tendenze

    Pulsanteria Harmony: arriva il LED “universale” per la gamma XB4/XB5

    07/02/2023

    “Serve una politica industriale europea”

    06/02/2023

    Interroll: più sicurezza per il settore Food and Beverage

    06/02/2023
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Contatti: redazione.itismagazine@bitmat.it

    Facebook Twitter Vimeo LinkedIn RSS
    NAVIGAZIONE
    • ReStart in Green
    • Stampa 3D
    • Simulazione
    • Progettazione
    • Sicurezza
    • Reparto corse
    • Tecnologie
    • Industry 4.0
    • Appuntamenti
    Ultime

    Autonomia veicoli elettrici: che impatto hanno temperatura e velocità?

    07/02/2023

    LetExpo 2023 vi aspetta a Verona, dall’8 all’11 Marzo

    07/02/2023

    Pulsanteria Harmony: arriva il LED “universale” per la gamma XB4/XB5

    07/02/2023

    SPS Italia On Tour: la seconda tavola rotonda è a Roma

    06/02/2023
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2023 Bitmat Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 292 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Scrivi nel campo e premi Invio per cercare. Premi Esc per annullare