Operazione Dragonfly 2.0: infrastrutture energetiche sotto attacco

Set 08, 2017 Marco Schiaffino Approfondimenti, Attacchi, Campagne malware, Hacking, In evidenza, Malware 0

I bersagli in Europa e Stati Uniti. Gli esperti: “gli attacchi potrebbero portare al sabotaggio con conseguenze imprevedibili”.

L’attacco è stato portato da una vecchia conoscenza del settore: il gruppo Dragonfly, che secondo gli analisti di Symantec sarebbe in circolazione fin dal 2011.

Questa volta gli hacker hanno avviato una campagna in grande stile che ha preso di mira, in particolare, i sistemi informatici di alcuni impianti energetici negli USA e in Turchia.

Secondo i ricercatori Symantec, che hanno analizzato l’operazione in questo report, Dragonfly 2.0 sarebbe stata avviata nel dicembre del 2015, ma ora l’attività dei pirati informatici avrebbe aumentato di intensità, soprattutto in Turchia.

I vettori iniziali di attacco utilizzato dal gruppo Dragonfly, come accade spesso in questo genere di azioni, sono numerosi, a partire dal classico spear phishing. I pirati inviano email confezionate ad arte con documenti allegati attinenti a temi del settore energetico.

Non solo: secondo Symantec gli hacker si sono dati anche un gran da fare per compromettere siti Internet legittimi (sempre legati al settore energetico) per cercare di sottrarre le credenziali di impiegati delle aziende e organizzazioni finite nel loro mirino.

Il gruppo, però, ha cercato di utilizzare anche un’altra tecnica, cioè l’uso di applicazioni per Windows modificate per “piazzare” un trojan (nello specifico Backdoor.Dorshel) sui computer in cui vengono installate.

Non manca, infine, il “grande classico” degli aggiornamenti per Flash Player, che secondo i ricercatori verrebbero proposti attraverso tecniche di social engineering (probabilmente su siti compromessi) allo scopo di scaricare e installare una backdoor.

Insomma: con la nuova campagna sembra che il gruppo Dragonfly non si stia per niente risparmiando e stia facendo ricorso a tutto l’arsenale informatico a sua disposizione per raggiungere gli obiettivi.

Tutti gli attacchi puntano a computer collegati in qualche modo a impianti per la produzione di energia elettrica. Un tipo di strutture che negli ultimi anni sono finite sempre più spesso vittima di attacchi informatici.

Secondo Symantec, l’obiettivo finale dei pirati non sarebbe il semplice spionaggio industriale, ma potrebbe essere addirittura quello di procedere a un sabotaggio degli impianti. Una conclusione a cui giungono considerando il fatto che il lungo periodo di “studio” dei bersagli ricorda da vicino il modus operandi di altri attacchi del genere, come quelli portati con Stuxnet.

In queste considerazioni gioca un importante ruolo l’attribuzione al gruppo Dragonfly, conosciuto già in passato per essere specializzato in operazioni di alto livello tipiche (anche se i ricercatori non si sbilanciano su questo punto) di gruppi legati ai servizi di intelligence.

E sul fatto che ci sia un legame tra gli attacchi attuali e l’attività del gruppo nel 2014 ci sarebbero pochi dubbi. Buona parte degli strumenti utilizzati, infatti, corrisponderebbero (e in alcuni casi avrebbero porzioni di codice simili) a quelli già utilizzati da Dragonfly.

Secondo i ricercatori, le probabilità che si tratti di false flag (indizi fuorvianti inseriti appositamente per depistare le indagini – ndr) sono piuttosto basse. Paradossalmente, ciò che convince gli analisti di avere a che fare proprio con Dragonfly è proprio l’assenza di prove schiaccianti.

Anche in passato, infatti, il gruppo ha sempre fatto ricorso a strumenti piuttosto conosciuti (come i tool di amministrazione in remoto) rinunciando a sfruttare exploit zero-day che rappresenterebbero un chiaro “marchio di fabbrica” in grado di ricondurre a loro.

Condividi l'articolo