It-företaget Symantec säger ‘Trollslända’ grupp har varit att undersöka och penetrerande energi anläggningar i USA, Turkiet och Schweiz
@alexhern
Onsdag 6 September 2017 11.01 BST
Senast ändrad onsdag 6 September 2017 11.37 BST
En hacka kampanj är inriktad energisektorn i Europa och USA för att eventuellt sabotage nationella elnät, ett it företag har varnat för.
Gruppen, som kallas “Dragonfly” av forskare på Symantec, har varit i drift åtminstone sedan 2011 men blev mörkt 2014 efter det var först utsätts för, i hemlighet placera bakdörrar i den industriella styrsystem för kraftverk över hela USA och Europa.
Nu, Symantec rapporter, koncernen har återupptagit verksamheten, tydligen arbetar sedan slutet av 2015 för att undersöka och tränga energi faciliteter i minst tre länder: USA, Turkiet och Schweiz.
“Dragonfly gruppen verkar vara intresserade av att både lära sig hur energi faciliteter fungera och för att också få tillgång till de operativa systemen själva, att i den mån koncernen nu potentiellt har förmågan att sabotera eller få kontroll över dessa system bör det beslutar att göra detta,” it-företaget varnar.
Dragonfly metoder är varierande, men alla attacker verkar vara fokuserade på att forska om det inre arbetet i energi företag. Det har ansetts att skicka skadlig e-post med bifogade filer som läcker interna referenser nätverk, som sedan används för att installera bakdörrar på nätet som tillåter en hackare att ta kontroll över datorer och system. De har också sett sådd falska flash uppdateringar att installera bakdörrar och genomföra “vattenhål” – attacker, dataintrång webbplatser från tredje part som sannolikt skulle kunna besökas av personer som arbetar inom energi sektorn.
För närvarande har koncernen verkar vara enbart i informations-insamling-läge, men Symantec varnar för att en lugn början är ofta ett förspel till uppsåtligt försök till sabotage. Den senaste kampanjer “för att visa hur anfallare kan vara på väg in i en ny fas,” Symantec säger, “med senaste kampanjer som kan ge dem tillgång till operativa system, tillgång som kan användas till mer störande ändamål i framtiden.”
Forskarna är inte att bestämma vem som ligger bakom Dragonfly kampanj: en del av koden är på ryska, men några är på franska, “vilket tyder på att något av dessa språk kan vara en false flag.
“Motstridiga uppgifter och vad som ser ut att vara försök till felattribueringen gör det svårt att slutgiltigt tillstånd där denna attack grupp är eller vem som ligger bakom det”, konstaterar rapporten.
Attacker på energisektorn har ökat i frekvens och skador under de senaste åren, med Ukraina i synnerhet vara i den mottagande änden av flera framgångsrika strejker. En blackout i västra Ukraina under 2015 var som orsakas av en grupp som kallas Sandworm, medan en andra attack tog makten i landets huvudstad Kiev, i slutet av 2016.
Men i andra länder, bland annat Storbritannien och USA, har varit föremål för tystare försök till infiltration, enligt GCHQ. The agency ‘s Nationella It-säkerhet Centrum varnade i juli för att det hade fått syn anslutningar från flera BRITTISKA IP-adresser till infrastruktur i samband med avancerad statligt sponsrade fientliga hot aktörer, som är kända för att rikta energi-och tillverkningsindustri”.
- ‘NotPetya” malware attacker skulle kunna motivera repressalier, säger Nato-anslutna-forskare
- Statliga hackare ” förmodligen äventyras energy sector, säger läckt GCHQ memo