Výzkumníci Symantec potvrdili závěry kolegů z F-Secure a začlenili je do širšího kontextu. Šíření malwaru Havex má podle nich na svědomí skupina zvaná Dragonfly (někdy také Energetic Bear). Jde o skupinu státem sponzorovaných hackerů, pocházející nejspíše z Ruska, či některého ze států Východní Evropy. Zaměřují se na cíle v oblasti energetiky a těžkého průmyslu – typicky: producenty elektřiny, provozovatele elektrických sítí a ropovodů a dodavatele technologických celků těchto podniků.
Ve prospěch podezření Symantec argumentuje: Skupina Dragonfly má silné finanční zázemí, disponuje řadou malware nástrojů a je schopna inicializovat útok mnoha různými vektory.
Nedávné napadení průmyslových kontrolních systémů komentuje: Jde o jednu z doposud nejambicióznějších útočných kampaní, která vyústila v napadení obětí, když updatovaly software pro své kontrolní systémy. Infekce nejenže vybavily agresory předmostím do sítí cílových organizací, ale také jim poskytly prostředky ke spuštění sabotáží daných kontrolních systémů.
Skupina k útoku použila především dva nástroje: Backdoor.Oldrea a Trojan.Karagany. Oldrea backdoor je také známý coby Havex. Obě větve malwaru umožňují útočníkům získat backdoor do infikovaných systémů, stáhnout a nainstalovat další malware a vyvést důvěrné informace.
Lokalizaci útočníků odvozují výzkumníci z analýzy souboru časových značek malwaru, které odpovídají pracovní době 9 – 18 h v časovém pásmu UTC +4. Symantec uzavírá: Dragonfly je technicky zdatná skupina schopná myslet strategicky. Vzhledem k velikostí obětí našla citlivé místo k útoku v jejich dodavatelských společnostech, které jsou nepoměrně menší a mnohem méně zabezpečené.
Zdroje: Symantec, Help Net Security, Whitepaper Dragonfly: Cyberespionage Attacks Against Energy Suppliers (PDF)