Hacker-gruppen kjent som “Dragonfly” er bak sofistikert bølge av siste nettangrep på energisektoren i Europa og Nord-Amerika, Symantec rapporterte onsdag.
Angrepene kan gi gruppen med de midler å forstyrre alvorlig energi operasjoner på begge kontinenter.
Dragonfly lansert en simililar kampanje fra 2011 til 2014, men den gikk inn i en stille periode i 2014 etter Symantec og andre utsatte sin virksomhet.
Den nåværende kampanjen startet i desember 2015, Symantec er angitt.
Firmaet funnet sterke indikasjoner på Dragonfly aktivitet i Usa, Tyrkia og Sveits, og spor av aktivitet i områder utenfor disse områdene.
Dragonfly Siste Aktiviteter
Angriperne har ansatt en rekke metoder for å infisere systemer, inkludert ondsinnet e-post, vannhull angrep og Trojanized programvare.
Alvoret i Situasjonen
“Brudd på flere energisektoren organisasjoner er ekstremt om,” sa Eric Chien, teknisk direktør i Symantec Security Response and Technology Division.
“Den AMERIKANSKE strømnettet er store og komplekse, og det er ikke en enkelt bryter som slår av elektrisitet for hele Usa,” fortalte han TechNewsWorld.
“Men, tilgang til operative systemer innen flere energisektoren organisasjoner som kan føre til vesentlige forstyrrelser.”
Selv om virkningen av angrepene så langt har vært minimal, som ikke redusere behovet for bekymring.
“Fremtiden er hva som er på spill her,” sa Dana Tamir, vice president of market-strategi i
Indegy.
“Dette kan være et forsøk på å få informasjon om disse systemene i utarbeidelse av fremtidige angrep,” sa hun til TechNewsWorld. “Det faktum at ingenting har skjedd akkurat nå, betyr ikke at ingenting vil skje i nær fremtid.”
Uklart Motiv
Security forskere har ennå å finne ut om motivene bak energisektoren angrep.
“Vi kan ikke se noen motivasjon i forhold til økonomiske, utpressing eller økonomisk spionasje,” Symantecs Chien sa.
“Vi vet ikke den ultimate motivasjon for en angriper, men klart avbrudd og sabotasje er kandidater som har tilgang til slike systemer,” la han til.
Egenskapene til angrep point til en klasse av gjerningsmannen, observert Indegy er Tamir.
“Raffinement av angrepet, mål for angrepet, innhenting av informasjon indikerer at det er en større spiller her som er mer typisk for en nasjon-stat enn en kriminell organisasjon,” sa hun.
Verktøy av Handelen
Mens selve operasjonen er sofistikert, verktøy og metoder som brukes av angripere til å trenge inn i
SCADA industriell kontroll-systemer finnes ikke.
“Det som er interessant her er den relativt enkle metoder hacking gruppen har brukt,” sa Leigh-Anne Galloway, cybersecurity elastisitet føre til Positive Teknologier.
“Vanligvis med SCADA, taktikk av valget, er å utnytte zero-day sårbarheter,” fortalte hun TechNewsWorld. “I dette tilfellet, selv om de har valgt å gå for de eldre, men mest-effektive metoder for phishing og vannhull for å komme inn.”
Dragonfly hackere bruker sine verktøy for å samle inn brukernavn og passord, og utføre rekognosering på de systemene de er å angripe, bemerket Indegy er Tamir.
“Når de får denne informasjonen, og trenge inn i systemer selv, manipulere systemer krever ikke noen spesielle verktøy,” sa hun. “Systemene er ganske lett å manipulere når du er inne i dem.”
“Vi ser angriperne i økende grad ‘leve av landet” ved hjelp av standard system administration verktøy for å trenge systemer, samt å gjenbruke og modifisere eksisterende off-the-sokkel skadelig programvare,” lagt til Symantecs Chien.
For å møte Angrepene
Etter oppdagelsen av den nyeste aktivitet, Symantec har briefet mer enn 100 energi sektor og offentlige organisasjoner i Usa og Europa, og gitt anbefalinger til dem om å takle angrep.
“Kraftnettet penetrasjon hendelser er skremmende,” sa Varun Badhwar, administrerende DIREKTØR i
RedLock.
“De virkelig treffer hjem viktigheten av å ha en solid cybersecurity strategi i stedet for organisasjoner av alle typer,” fortalte han TechNewsWorld.
Angrep på industrielle kontrollsystemer har vært økende i den senere tid, ifølge en ny
rapport fra IBM Sikkerhet.
Det var 2,788 angrep i 2016, med en økning fra 640 angrep i 2013, for eksempel. At trenden ser ut til å fortsette dette året. Gjennom juli, IBM allerede hadde rapportert 2,522 angrep.
“Det er en voksende bevissthet,” Indegy er Tamir observert, “men energisektoren er å flytte for sakte til å møte disse truslene.”
John P. Mello Jr. har vært en ECT Nyheter Network reporter
siden 2003. Hans fokusområder inkluderer cybersecurity, IT-problemer, personvern, e-handel, sosiale medier, kunstig intelligens, big data og forbrukerelektronikk. Han har skrevet og redigert for en rekke publikasjoner, inkludert Boston Business Journal,
Boston Phoenix, Megapixel.Net og Regjeringen
Sikkerhet Nyheter. E-John.