Dragonfly, attacco contro le centrali elettriche

Symantec ha scoperto un attacco informatico su vasta scala contro diversi obiettivi, principalmente aziende del settore energetico. Il gruppo Dragonfly, operativo dal 2011, ha compiuto azioni di sabotaggio contro i gestori di energia elettrica, di impianti petroliferi e fornitori di apparecchiature industriali di circa 84 paesi, tra cui Italia, Stati Uniti, Francia, Spagna e Germania. Sembra che lo scopo dei cybercriminali sia infettare i sistemi di controllo per raccogliere informazioni, ma in futuro potrebbero essere eseguiti attacchi “distruttivi”, come l’interruzione delle forniture di energia.

Dragonfly è operativo da circa tre anni. Inizialmente, il gruppo inviava solo email di phishing contenenti malware al personale delle aziende energetiche. La fase successiva prevedeva attacchi contro siti web visitati dai dipendenti e il redirecting verso altri siti, dai quali veniva scaricato il malware sui computer target, sfruttando un exploit kit. Infine, è stato infettato il software distribuito da tre produttori ICS (Industrial Control System). Il gruppo è composto da persone con elevate competenze e sembra sia finanziato da qualche stato per compiere azioni di cyberspionaggio.

Dragonfly usa due tipi di malware nei suoi attacchi: Backdoor.Oldrea e Trojan.Karagany. Il primo è un malware di tipo RAT (Remote Access Tool) che permette di prendere il controllo dei computer da remoto e di estrarre varie informazioni, come elenco dei file, programmi installati e rubrica di Outlook. Questi dati vengono salvati in forma criptata in un file temporaneo prima di essere inviati ad un server C&C (command-and-control). Il secondo tool consente di effettuare l’upload dei dati, di scaricare file eseguibili ed eseguire altri plugin per collezionare password, prendere screenshot e catalogare i documenti sui computer infetti.

Il gruppo ha utilizzato almeno tre vettori di attacco per installare sui target i due malware. Mediante una campagna di spam sono state inviate email con allegati PDF infetti ai dirigenti delle aziende. In seguito sono stati compromessi alcuni siti legati all’industria energetica, iniettando un iframe che redirezionava il visitatore verso un altro sito legittimo, dal quale venivano scaricati i due malware, sfruttando vulnerabilità di Java e Internet Explorer. Più recentemente è stato sviluppato una nuova versione dell’exploit kit che può rilevare i plugin del browser installati e determinare la vulnerabilità da sfruttare per avere un maggiore successo di infezione.

Symantec ha già informato le aziende interessate e le autorità nazionali, come i CERT, che ora dovranno mettere in atto tutte le misure per bloccare futuri attacchi. Il paese più colpito è la Spagna (27%), seguito da Stati Uniti (24%), Francia (9%), Italia (8%) e Germania (7%).