Cybersecurity firmaet Symantec sier “Dragonfly” for gruppen har vært å undersøke og gjennomtrengende energianlegg i OSS, Tyrkia og Sveits
@alexhern
Onsdag 6 September 2017 11.01 BST
Sist endret onsdag 6 September 2017 11.37 BST
En hacking-kampanjen er rettet mot energisektoren i Europa og USA for å potensielt sabotasje nasjonale strømnett, en cybersecurity firmaet har advart.
Gruppen, kalt “Dragonfly” av forskere ved Symantec, har vært i drift siden minst 2011 men gikk mørke i 2014 etter at den først ble utsatt for, i all hemmelighet å plassere bakdører i den industrielle kontrollsystemer for kraftverk over hele USA og Europa.
Nå, Symantec rapporterer konsernet har gjenopptatt driften, tilsynelatende arbeidet siden slutten av 2015 for å undersøke og trenge energianlegg i minst tre land: USA, Tyrkia og Sveits.
“Dragonfly gruppe ser ut til å være interessert i både å lære hvordan energi fasiliteter betjene, og også å få tilgang til operative systemer selv, til den grad at gruppen nå potensielt har evnen til å sabotere eller få kontroll over disse systemene bør det bestemmer deg å gjøre det,” cybersecurity firmaet advarer.
Dragonfly er metoder er varierte, men alle dens angrep synes å være fokusert på å forske på det indre arbeidet i energi-bedrifter. Det har vært sett sender skadelig e-post med vedlegg som lekker interne nettverket legitimasjon, som deretter brukes til å installere bakdører på nettverket slik at hackere kan ta kontroll over datamaskiner og operativsystemer. De har også blitt sett på seeding falsk flash-oppdateringer du installerer bakdører og gjennomføring av “vannhull” – angrep, hacking tredjeparts nettsider som det var sannsynlig å bli besøkt av folk som jobber i energisektoren.
Foreløpig gruppen ser ut til å være utelukkende i informasjon-the gathering-modus, men Symantec advarer om at en rolig begynnelsen er ofte en forløper til bevisste forsøk på sabotasje. Den nyeste kampanjer “viser hvordan angriperne kan være på vei inn i en ny fase,” Symantec sier, “med nye kampanjer potensielt gi dem tilgang til operative systemer, tilgang som kan brukes for mer forstyrrende formål i fremtiden.”
Forskerne er ikke i stand til å finne ut hvem som står bak Dragonfly kampanje: noen av kode er på russisk, men noen er på fransk, “som indikerer at ett av disse språkene kan være et falskt flagg.
“Motstridende bevis og hva som synes å være forsøk på misattribution gjøre det vanskelig å slå fast tilstand hvor dette angrepet gruppen er basert på, eller hvem som står bak det,” rapporten konkluderer med.
Angrep på energisektoren har vært å øke i hyppighet og skade i de siste årene, med Ukraina spesielt å være på mottakersiden av flere vellykkede angrep. En blackout i vest-Ukraina i 2015 ble forårsaket av en gruppe kalt Sandworm, mens andre angrepet tok makten i landets hovedstad, Kiev, i slutten av 2016.
Men andre land, inkludert Storbritannia og USA, har vært gjenstand for roligere forsøk på infiltrasjon, i henhold til GCHQ. Byråets National Cybersecurity Sentrum varslet i juli at det hadde oppdaget forbindelser “fra flere UK IP-adresser til infrastruktur knyttet til avansert statsstøttet fiendtlig trussel aktører, som er kjent for å målrette energi og industri sektorer”.
- ‘NotPetya’ malware angrep kunne garantere gjengjeldelse, sier tilknyttet Nato-forsker
- Staten hackere ‘sannsynligvis kompromittert’ energisektoren, sier lekket GCHQ memo