Cybersecurity-firmaet Symantec siger, at “Dragonfly” – gruppen har været at undersøge og gennemtrængende energi faciliteter i USA, Tyrkiet og Schweiz
@alexhern
Onsdag, 6 September 2017 11.01 BST
Sidst opdateret onsdag den 6 September 2017 11.37 BST
En ubehagelig kampagne, der er målrettet energisektoren i Europa og USA og er potentielt sabotage nationale elnet, en cybersecurity firma har advaret om.
Den gruppe, kaldt “Dragonfly” af forskere ved Symantec, har været i drift siden mindst i 2011, men blev mørkt i 2014, efter at den først blev udsat for i hemmelighed at placere bagdøre i den industrielle kontrolsystemer kraftværker i hele USA og Europa.
Nu, Symantec rapporter, gruppen har genoptaget operationer, tilsyneladende arbejdet siden slutningen af 2015 til at undersøge og trænge ind energi faciliteter i mindst tre lande: USA, Tyrkiet og Schweiz.
“Dragonfly gruppe ser ud til at være interesseret i både at lære, hvordan energi faciliteter betjene og også få adgang til operationelle systemer i sig selv, at i det omfang, at gruppen nu har potentielt mulighed for at sabotere eller få kontrol med disse systemer bør det beslutter at gøre det,” cybersecurity firma advarer.
Dragonfly ‘ s metoder er forskellige, men alle dens angreb synes at være fokuseret på at forske i de indre funktioner af energi-virksomheder. Det er blevet set, sende ondsindede e-mails med vedhæftede filer, der lækker interne netværk legitimationsoplysninger, som derefter anvendes til at installere bagdøre på netværket tillader hackere at overtage kontrollen af computere og systemer. De har også været set såning falsk flash-opdateringer for at installere bagdøre og udfører “watering hole” – angreb, hacking tredjeparts websteder, som var tilbøjelige til at blive besøgt af folk, der arbejder i energisektoren.
I øjeblikket, gruppen ser ud til at være alene i informations-indsamling af mode, men Symantec advarer om, at en stille begyndelse er ofte en optakt til bevidst forsøg på sabotage. De nyeste kampagner “viser, hvordan hackere kan være på vej ind i en ny fase,” Symantec siger, “med de seneste kampagner, der potentielt kan give dem adgang til operationelle systemer, adgang til at kunne bruges til mere forstyrrende formål i fremtiden.”
Forskerne er i stand til at afgøre, hvem der er bag Dragonfly kampagne: nogle af de kode, der er på russisk, men nogle er på fransk, “hvilket indikerer, at et af disse sprog kan være en falsk flag.
“Modstridende evidens og hvad der synes at være et forsøg på misattribution gøre det vanskeligt at sige noget definitivt stat, hvor dette angreb gruppe er baseret på, eller hvem der står bag det,” konkluderer rapporten.
Angreb på energisektoren har været tiltagende i hyppighed og skader i de seneste år, med Ukraine i særdeleshed at være på den modtagende ende af flere succesfulde strejker. En strømafbrydelse i det vestlige Ukraine i 2015 var forårsaget af en gruppe kaldet Sandworm, mens et andet angreb tog magten i landets hovedstad, Kiev, i slutningen af 2016.
Men andre lande, herunder Storbritannien og USA, har været genstand for mere støjsvage forsøg på infiltration, i henhold til GCHQ. Agenturets Nationale Cybersecurity-Center advarede i juli, at det havde spottet forbindelser “fra flere BRITISKE IP-adresser til infrastruktur, der er forbundet med avanceret state-sponsored fjendtlig trussel aktører, der er kendt for at målrette energi-og fremstillingsvirksomhed”.
- ‘NotPetya’ malware-angreb, kunne berettige gengældelse, siger Nato-tilknyttet-forsker
- Staten hackere ‘sandsynligvis er kompromitteret’ energi sektor, siger lækket GCHQ memo