DELEN

Volgens onderzoekers van informatiebeveiligingsbedrijf Symantec zouden energiebedrijven in Europa en de Verenigde Staten worden aangevallen door een groep die bekend staat als Dragonfly. De operatie, welke door Symantec Dragonfly 2.0 genoemd wordt, werd volgens het Amerikaanse bedrijf eind 2015 door de groep gestart.

De onderzoekers publiceerden deze informatie in een gedetailleerd artikel. Hierin geven zij aan dat de energiesector de afgelopen twee jaar een groter doelwit is geworden voor hackers, waar de serie stroomstoringen in Oekraïne van 2014 en 2015 een voorbeeld van zijn. Zij zouden diverse systemen van energiebedrijven in Zwitserland, Turkije en de Verenigde Staten zijn binnengedrongen. Hiervoor zouden technieken en tools zijn gebruikt die door de groep bij voorgaande hacks ook zijn gebruikt.

De Dragonfly-groep lijkt volgens de beveiligingsonderzoekers geïnteresseerd te zijn in de werking van de systemen van energiebedrijven. Ook zouden zij trachten toegang tot deze systemen te krijgen, waarmee de mogelijkheid tot sabotage ontstaat als de groep hiertoe besluit. Het is op dit moment onduidelijk wat het motief van de hackersgroep is, hoewel er een realistische mogelijkheid is dat het om een politieke motivatie gaat.

Phishing en trojans gebruikt voor aanval

In 2014 maakte de Dragonfly-groep gebruik van diverse malware om bij systemen van slachtoffers binnen te kunnen dringen. Deze tactiek werd door de groep bij een vergelijkbare aanval in 2011 ook al toegepast. Zo werd bijvoorbeeld gebruik gemaakt van Backdoor.Dorshel om gecompromitteerde varianten van Windows-applicaties te verspreiden.

De beveiligingsonderzoekers van Symantec zeggen bewijs te hebben dat gecompromitteerde bestanden werden verspreid die verpakt werden als updates voor Adobe Flash, om hiermee backdoors te kunnen installeren op de systemen van energiebedrijven. Om bij slachtoffers binnen te dringen werden gerichte aanvallen uitgevoerd, waarbij social engineering en trojans centraal stonden. Nadat het slachtoffer een specifieke link bezocht, werd het bestand ‘install_flash_player.exe’ op de computer geplaatst. Kort hierna volgde een infectie van de Trojan.Karagany.B-malware.

Aanvallers zouden bij waargenomen omstandigheden enkele backdoors op systemen van energiebedrijven installeren. Hiermee kunnen zij op afstand verbinding maken met de getroffen systemen, wat hen in staat stelt aanvullende software te installeren als dit nodig wordt geacht. Dorshel en Karagany.B zijn voorbeelden van gebruikte backdoors, maar ook Trojan.Heriplor werd voor de aanval gebruikt.

Dragonfly-groep heeft hoog kennisniveau

De aanvallers lijken over een hoog technisch kennisniveau te beschikken. Toch lijkt er geen gebruik te zijn gemaakt van publiekelijk-bekende kwetsbaarheden, waar vaak naar gerefereerd wordt als ‘zero-days‘. De hackers maakten simpelweg gebruik van eigen kwetsbaarheden en phishing-aanvallen om energiebedrijven gericht aan te vallen. Hiermee heeft de Dragonfly-groep mogelijk de controle gekregen over diverse systemen van energiebedrijven, waardoor sabotage, bedrijfsspionage en andere vormen van digitale aanvallen niet ondenkbaar zijn.

Dragonfly 2.0 Infographic by Symantec

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here