Хакерская группировка Dragonfly (также известная как Energetic Bear и Crouching Yeti) получила доступ к системам сотен электростанций и других значимых энергетических объектов США — об этом 23 июля рассказала The Wall Street Journal (WSJ), ссылаясь на Министерство внутренней безопасности (МВБ). В США связывают хакеров с Москвой. Рассказываем о группировке Dragonfly, которая поразила более двух тысяч объектов за восемь лет.
Кто они?
Эксперты в области киберпреступлений до сих пор не установили личности злоумышленников. При этом власти США заявляют, что хакеры связаны с Москвой. Россия в свою очередь подобные обвинения отвергает.
Одним из доказательств российского происхождения может служить часовой пояс, в котором работают злоумышленники. Атаки производятся из Восточной Европы. Американская компания Symantec, проводя анализ, зафиксировала активность Dragonfly в будние дни с 9:00 до 18:00 в пределах часового пояса UTC+4, «Лаборатория Касперского» выявила активность в поясе UTC+3.
Аналогичное доказательство использовалось в отношении группировки Fancy Bear («Модный мишка»), которую обвиняют в атаке на национальный комитет Демократической партии США во время предвыборной гонки 2016 года. Они работают в часовом поясе UTC+3. Более подробно о деятельности этой группировки мы писали в одном из наших материалов.
Кого атакуют?
Dragonfly проводят свои атаки с определенной частотой. По различным оценкам, группа начала активную деятельность в 2010-2011 годах. Из докладов американских аналитических агентств следует, что в те года главной мишенью преступников были военные и авиационные объекты США и Канады. С 2013-го по 2017 год злоумышленники работали в области энергетики и машиностроения.
«Лаборатория Касперского» отмечает, что жертвами Dragonfly стали порядка 2800 компаний по всему миру.
Согласно докладам Symantec, в 2016-2017 годах основными целями Dragonfly были энергетические системы США и Европы. Также в этот период были зафиксированы атаки на ресурсы восточных стран. В частности, «Лаборатория Касперского» говорит о том, что за последние два года под удар попали турецкие организации.
Что используется во время атак?
Dragonfly придерживается классической схемы поражения ресурсов. Злоумышленники используют рассылку фишинговых писем с зараженным PDF-файлом.
Помимо этого, хакеры внедряют вредоносное ПО на сервера различных веб-сайтов (как правительственных, так и частных). В результате внедрения софта на ресурсах создавались уязвимости, через которые вирус попадал на компьютер пользователя, открывая удаленный доступ для злоумышленников.
В апреле 2018 года «Лаборатория Касперского» привела перечень стран, чьи ресурсы подверглись киберугрозам, в их числе есть и Россия, которую США обвиняет в хакерских атаках:
— Турция (пострадали ресурсы промышленных предприятий и нефтяной холдинг);
— Украина (поражены банк и энергетическая компания);
— Великобритания (внедрено вредоносное ПО в аэрокосмическую компанию);
— Германия (атакован разработчик и интегратор ПО);
— Греция (подвергся атаке университетский сервер);
— США (мишенью стало нефтегазовое предприятие);
— Россия (поражен ресурс риелторского агентства, оппозиционный сайт, разработчики промышленного ПО и оборудования, а также сервера других организаций).
Помимо этого, в период с 2011-го по 2014 год Dragonfly атаковала организации Китая, Испании, Ирландии, Японии, Италии и Польши.
В инструментарий Dragonfly входит различный вредоносный софт: утилиты удаленного управления компьютером, трояны, сканеры уязвимости сети и проверки ее безопасности, а также другое вредоносное программное обеспечение. В «Лаборатории Касперского» отмечают, что весь софт, который используют преступники, находится в открытом доступе в интернете.
По словам ведущего аналитика Group-IB Анастасии Тихоновой, за последние несколько лет российские предприятия неоднократно сталкивались с киберугрозами.
«Киберпреступники из группы Dragonfly (известная также под именами Energetic Bear/Crouching Yeti/Group 24/Koala Team/Anger Bear) впервые были замечены в 2010 году. Известно о ряде атак группы на объекты в США и Европе. Кроме того, в 2014 году Dragonfly атаковали строительную компанию в России, которая специализируется на проектировании конструкций, — говорит Тихонова, добавляя: — Энергетический сектор разных государств, в том числе и России, подвергается атакам киберпреступников из разных стран мира. Например, в 2017 году, когда Россия и Индия подписывали соглашение о сотрудничестве в рамках строительства атомной электростанции, энергетические предприятия обеих стран были атакованы вредоносной программой H2Odecomposition, которая маскировалась под популярное индийское антивирусное решение Quick Heal. Данные атаки относят к прогосударственным хакерам из Китая».
О чем говорит WSJ?
WSJ говорит, что в настоящий момент под угрозой могут находиться системы американских энергосетей. Часто жертвами атак становились сотрудничающие с энергокомпаниями небольшие фирмы, не имеющие средств на киберзащиту. При этом журналисты отмечают, что некоторые организации могут до сих пор не знать об угрозе, так как хакеры маскируются под людей, которые имеют доступ к системам энергосетей.
Статья о Dragonfly опубликована на фоне заявления главы Агентства национальной безопасности (АНБ) США генерала Пола Накасоне, который также занимает пост главы Кибернетического командования. В понедельник, 23 июля, он рассказал о создании в АНБ спецотдела по борьбе с кибератаками из России.
«Я создал российскую группу, небольшую российскую группу. Это укладывается в рамки того, что разведывательное сообщество (США) делает с 2016-2017 годов», — сказал генерал во время выступления на форуме по безопасности в Аспене (штат Колорадо) 21 июля.
По мнению Накасоне, Россия «обладает большими возможностями в киберпространстве» и США необходимо «противостоять угрозам». Ранее, 17 июля, The Washington Post сообщил, что АНБ и Киберкомандование будут сотрудничать с Конгрессом США. Специалисты намерены противодействовать российской угрозе в преддверии промежуточных выборов в парламент США, которые должны состояться в ноябре этого года.