Zpět na seznam aktualit     Číst komentáře (0)     Verze pro tisk

Malwarem Havex útočila státem sponzorovaná Dragonfly

1.7.2014

Za napadením IT systémů energetických společností a těžkého průmyslu malwarem Havex stojí hackeři sponzorováni státem – nejspíš Ruskem či některým ze států Východní Evropy.


Výzkumníci Symantec potvrdili závěry kolegů z F-Secure a začlenili je do širšího kontextu. Šíření malwaru Havex má podle nich na svědomí skupina zvaná Dragonfly (někdy také Energetic Bear). Jde o skupinu státem sponzorovaných hackerů, pocházející nejspíše z Ruska, či některého ze států Východní Evropy. Zaměřují se na cíle v oblasti energetiky a těžkého průmyslu – typicky: producenty elektřiny, provozovatele elektrických sítí a ropovodů a dodavatele technologických celků těchto podniků.

Ve prospěch podezření Symantec argumentuje: Skupina Dragonfly má silné finanční zázemí, disponuje řadou malware nástrojů a je schopna inicializovat útok mnoha různými vektory. Nedávné napadení průmyslových kontrolních systémů komentuje: Jde o jednu z doposud nejambicióznějších útočných kampaní, která vyústila v napadení obětí, když updatovaly software pro své kontrolní systémy. Infekce nejenže vybavily agresory předmostím do sítí cílových organizací, ale také jim poskytly prostředky ke spuštění sabotáží daných kontrolních systémů.

Skupina k útoku použila především dva nástroje: Backdoor.Oldrea a Trojan.Karagany. Oldrea backdoor je také známý coby Havex. Obě větve malwaru umožňují útočníkům získat backdoor do infikovaných systémů, stáhnout a nainstalovat další malware a vyvést důvěrné informace.

Lokalizaci útočníků odvozují výzkumníci z analýzy souboru časových značek malwaru, které odpovídají pracovní době 9 – 18 h v časovém pásmu UTC +4. Symantec uzavírá: Dragonfly je technicky zdatná skupina schopná myslet strategicky. Vzhledem k velikostí obětí našla citlivé místo k útoku v jejich dodavatelských společnostech, které jsou nepoměrně menší a mnohem méně zabezpečené.

 

Zdroje: Symantec, Help Net Security, Whitepaper Dragonfly: Cyberespionage Attacks Against Energy Suppliers (PDF)

Zdroj: http://www.net-security.org/secworld.php?id=17072


Social Bookmarking

     





Hodnocení/Hlasovalo: 1/1

1  2  3  4  5    
(známkování jako ve škole)