Dragonfly, attacco alle aziende di energia in Usa ed Europa

DRAGONFLY

Un gruppo di criminali informatici ha colpito diverse compagnie dal 2011 a oggi. Lo scopo è lo spionaggio industriale ema non si esclude uno scenario più inquietante. (corriere.it)

Una campagna di spionaggio senza precedenti, ai danni di compagnie e industrie legate al settore energetico, negli Stati Uniti e in Europa. Questo, in sintesi, quanto scoperto dai laboratori Symantec, una delle aziende leader nella sicurezza informatica, che ha affidato in esclusiva al Corriere della Sera un documento nel quale rivela i dettagli del progetto criminoso. Il nome in codice è Dragonfly, e indica, in realtà, il gruppo di criminali informatici che hanno portato avanti la campagna fin dal 2011, anche se è probabile che ci lavorassero da ben prima. L’obiettivo iniziale era un insieme di compagnie legate ad aviazione e sistemi di difesa americani e canadesi, ma poi, a inizio 2013, il piano di spionaggio si è spostato anche nel Vecchio continente, includendo i sistemi di controllo industriale.

Spionaggio. E non solo

«Le conseguenze di questa campagna sono di due tipi», racconta Antonio Forzieri, esperto di sicurezza di Symantec Italia. «Nella migliore delle ipotesi, si tratta “solo” di spionaggio industriale, quindi qualcuno ha rubato dei dati dagli obiettivi colpiti e ne disporrà a suo piacimento, per esempio rivendendoli ad altri». E continua: «Ma nulla vieta di pensare che chi ha sferrato l’attacco possa giocare un ruolo più attivo, arrivando, come caso estremo, a spegnere interi sistemi energetici». Vista la complessità dell’attacco, e i budget necessari per mettere in atto una campagna del genere, è chiaro che lo scopo è meramente monetario. Le informazioni ottenute con lo spionaggio si rivendono a caro prezzo, per non parlare di eventuali azioni di sabotaggio, che potrebbero venire commissionate. Come previsto da un guru della sicurezza informatica, Eugene Kaspersky durante un’intervista al Corriere della Sera, siamo già entrati nella nuova fase delle “cyber-minacce”: gli attacchi agli impianti industriali.

Le tre tecniche

Il modus operandi utilizzato dal gruppo Dragonfly, anche conosciuto come Energetic Bear, si basa su tre tecniche diverse, anche se si tratta di vecchie conoscenze del mondo informatico. Dal momento in cui è stata scoperta la campagna, i laboratori di Symantec hanno dapprima rilevato un’estesa operazione di spam, con l’invio di e-mail malevole a diversi obiettivi, in genere manager delle compagnie prese di mira. Il soggetto delle e-mail riguardava questioni di normale amministrazione, come problemi ad account di posta elettronica piuttosto che nelle consegne di materiali. Le e-mail contenevano degli allegati, sotto forma di documenti PDF. Una volta aperti, attivavano un malware, cioè un software nocivo, e davano il via all’attacco. Un particolare curioso è che tutte le e-mail sono state inviate da un indirizzo Gmail, che porta a chiedersi se Google possa essere coinvolta nella caccia ai responsabili. «Al momento non ne so nulla», risponde Forzieri. «Ma di sicuro i ragazzi dei laboratori avranno chiesto la collaborazione di Mountain View».

Il controllo dei pc infetti

La seconda tecnica è il così detto attacco watering holes. Subito dopo la campagna di spam, avvenuta tra il febbraio e il giugno del 2013, Dragonfly ha compromesso alcuni siti del settore energetico, inserendo tra le pagine delle istruzioni che deviavano i visitatori verso altri siti, identici agli originali ma contenenti due malware. Nel 95% dei casi si trattava di Backdoor.Oldrea, un software malevolo sviluppato proprio da Dragonfly, a dimostrazione della competenza e delle risorse del gruppo. Si tratta, nella fattispecie, di un RAT (Remote Administration Tool), cioè un programma che, una volta attivato in un dato computer, lo mette alla mercé del criminale di turno. Per spiare dati, ma volendo anche per installare altri software malevoli e portare avanti dei veri e proprio sabotaggi. Nel restante 5% dei casi, al posto di Oldrea è stato rilevato l’utilizzo di Trojan.Karagany. Più comune, potrebbe essere stato acquisito e personalizzato ad hoc da Dragonfly, per svolgere i medesimi compiti di Oldrea.

Programmi modificati

La terza tecnica, infine, consisteva nel rendere malevoli dei software innocui. Pensate a degli aggiornamenti (update) di programmi di uso comune, o programmi per la compressione delle immagini. Dragonfly ha modificato questi software, inserendo al loro interno i malware, mettendoli a disposizione come download nei siti colpiti, e facendoli dunque passare per programmi assolutamente genuini.

In stile Stuxnet

L’insieme delle tre tecniche ha dato vita a un attacco massiccio, che a qualcuno farà venire in mente Stuxnet, che nel 2010 colpì le centrali nucleari iraniane. «In realtà è molto diverso, perché in quel caso si trattava di vero e proprio sabotaggio, ed era stato sviluppato ancor più su misura». Così, non resta che capire chi si cela dietro a Dragonfly. «Al momento è difficile stabilirlo, e ci stiamo lavorando. Quel che possiamo dire è che si tratta di un gruppo molto strutturato, che opera probabilmente su commissione, magari per qualche concorrente nel ramo energetico. Incrociando i dati rilevati, è probabile che i criminali responsabili dell’attacco provengano dalla Russia o zone limitrofe». (fonte)

[nbox type=error] Pensate che qualcuno acceda al vostro computer o usi la vostra rete, navigare è diventato un problema, si aprono finestre strane o compare molta pubblicità senza che voi facciate nulla? Per cercare di risolvere questi e altri problemi, contattateci senza impegno. Potete farlo tramite un messaggio alla nostra pagina o telefonicamente (in orari di ufficio) al numero 331.449.8368. BANNER-TELEASSISTENZAValuteremo insieme se necessitate di un semplice consiglio, magari tramite le oltre 1.200 note già pubblicate, o se per risolvere preferite essere seguiti passo passo tramite un servizio professionale di teleassistenza (ai nostri fan, ma solo a loro, costa pochi euro). Siamo in grado di risolvere la quasi totalità dei problemi in teleassistenza, senza che voi o il vostro computer lasci la vostra abitazione, controllando insieme a noi cosa viene fatto sul vostro sistema. Altre informazioni [/nbox]

Potrebbero interessarti anche...