Dragonfly 2.0 Hackers ciblant le secteur de l'énergie, selon,Symantec!Symantec attire l'attention sur le fait qu'un groupe de hackers ayant attaqué en premier des sociétés d'énergie en 2014 est de retour, et cette fois il pourrait avoir des objectifs plus perturbateurs.
Dragonfly:
Symantec a averti le 6 septembre qu'il voyait la réapparition d'un groupe de hackers connu sous le nom de Dragonfly qui cible directement les entreprises du secteur de l'énergie et les infrastructures du système de contrôle industriel (ICS).Symantec a émis des avertissements sur les premières attaques de Dragonfly en juillet 2014, après quoi les attaques du groupe de hackers ont diminué. Le nouveau round d'attaques, baptisé Dragonfly 2.0 par Symantec, est en cours depuis décembre 2015, avec un nombre croissant d'attaques en 2017."Une grande partie de cette activité n'a pas été détectée par l'industrie de la sécurité et est très ciblée", a déclaré à eWEEK Jon DiMaggio, analyste principal des renseignements sur les menaces chez Symantec. "Une fois que nous avons identifié l'activité et commencé à regarder ce qui se passait, nous avons réalisé que c'était une opération majeure ciblant l'industrie de l'énergie."
Les attaques Dragonfly 2.0 impliquent plusieurs éléments, y compris des courriels de phishing conçus pour inciter les utilisateurs à ouvrir des pièces jointes, ainsi que de fausses mises à jour Flash qui finissent par installer des backdoors de chevaux de Troie.
"Le fait que l'attaquant puisse créer des logiciels malveillants qui ne sont pas détectés et a des opérations orientées vers des objectifs montre que l'adversaire a à la fois le financement et les capacités habituellement réservés aux attaquants des Etats-nations", a déclaré DiMaggio.Selon Symantec, Dragonfly 2.0 a attaqué des sociétés énergétiques aux Etats-Unis, en Turquie et en Suisse. On ne sait pas combien d'organisations ont été touchées, bien qu'à ce stade, les attaques n'aient pas directement mené à des pannes opérationnelles connues.«Nous travaillons avec les victimes pour identifier et atténuer les récentes attaques de Dragonfly
, mais étant donné qu'elles sont de véritables victimes d'une cyberattaque majeure, nous ne pouvons pas fournir de détails à ce niveau», a déclaré M. DiMaggio. "Cependant, je dirai que nous n'avons pas vu d'impact majeur sur les opérations, et nous espérons que cette information publiée publiquement empêchera les systèmes ICS vitaux d'être endommagés ou altérés."
Les attaquants de Dragonfly 2.0 utilisent un processus en plusieurs étapes pour accéder aux réseaux ICS et aux compagnies d'énergie. Selon Symantec, Dragonfly s'appuie fortement sur des informations d'identification volées pour compromettre un réseau. Les attaques utilisent une technique d'attaque "trou d'eau" où des sites Web légitimes sont utilisés pour compromettre les visiteurs de la page et les inciter à se connecter et ensuite transmettre les informations d'identification à une infrastructure contrôlée par l'attaquant, a déclaré DiMaggio.En outre, Dragonfly utilise des courriels de spear-phishing principalement utilisés pour déposer des logiciels malveillants, qui ensuite capture et transmet les informations d'identification de l'utilisateur à une infrastructure de l'attaquant. DiMaggio a déclaré que les attaquants de Dragonfly 2.0 utilisent principalement l'outil Phishery disponible pour la campagne de phishing.«Une fois l'accès à distance établi, l'attaquant utilise des outils publics ou des outils d'administration dans l'environnement de la victime pour obtenir des informations d'identification post-compromettantes afin de renforcer leur influence et leur accès aux systèmes d'intérêt», explique DiMaggio.
Le principal candidat parmi la panoplie d'équipes de hackers russes est un groupe de cyberspies, plus connu sous le nom d'Energetic Bear, mais également connu sous des noms tels que DragonFly, Koala et Iron Liberty. D'abord repéré par la firme de sécurité Crowdstrike en 2014, le groupe a d'abord piraté sans discernement des centaines de cibles dans des dizaines de pays depuis 2010, en utilisant des attaques dites «watering hole» qui infectaient les sites Web et plantaient un cheval de Troie appelé Havex. ' Machines. Mais il est vite devenu clair que les pirates avaient un objectif plus spécifique: ils utilisaient également des courriels d'hameçonnage pour cibler les vendeurs de logiciels de contrôle industriel, faisant glisser Havex dans les téléchargements des clients. L'entreprise de sécurité FireEye a découvert en 2014 que le groupe avait violé au moins quatre de ces cibles de contrôle industriel, ce qui a permis aux hackers d'accéder à tout, des systèmes de réseaux électriques aux usines de fabrication.Selon Adam Meyers, vice-président du renseignement de Crowdstrike, le groupe semblait au moins en partie concentré sur une large surveillance de l'industrie pétrolière et gazière. Les cibles d'Energetic Bear incluaient tout, des producteurs de gaz aux entreprises qui transportaient du gaz liquide et du pétrole jusqu'aux sociétés de financement de l'énergie. Crowdstrike a également découvert que le code du groupe contenait des artefacts en langue russe et qu'il fonctionnait pendant les heures d'ouverture de Moscou. Tout cela suggère, selon Meyers, que le gouvernement russe pourrait avoir utilisé le groupe pour protéger sa propre industrie pétrochimique et mieux utiliser son pouvoir en tant que fournisseur de carburant. "Si vous menacez d'éteindre le gaz dans un pays, vous voulez savoir à quel point cette menace est grave et comment l'exploiter correctement", dit Meyers.
À ce stade, les attaques Dragonfly n'ont pas utilisé de logiciels malveillants destructifs qui auraient un impact sur les opérations d'un SCI. En juin 2017, des chercheurs en sécurité de Dragos et ESET ont détaillé les actions d'une attaque baptisée Industroyer qui a déclenché une panne de courant massive en Ukraine.Avec l'opération originale de Dragonfly 1.0, l'évaluation de Symantec est que l'intention des attaquants était d'obtenir l'accès à des systèmes basés sur l'énergie et sur le SCI, selon DiMaggio."Sur la base des opérations postales et du temps et des efforts consacrés à l'accès à un réseau ou à des systèmes spécifiques au cours de la récente campagne, il est au-dessus de ce qui a été vu dans Dragonfly 1.0". "Nous pensons qu'il est plausible, basé sur la quantité de temps d'attaque et l'intérêt pour des systèmes spécifiques, que le principal avantage d'y accéder serait de perturber les opérations."
REF.: