Virusul ”Dragonfly” atacă centralele energetice ale ţărilor NATO

Hackeri
Hackeri (Patrick Lux / Getty Images)

Companiile europene şi americane au devenit principalele ţinte ale virusului ”Dragonfly”, de provenienţă est-europeană, care ţinteşte sisteme de control ale infrastructurii electrice, firme majore de electricitate, operatorii conductelor de petrol şi furnizorii industriali de echipamente folosite în energie.

Descoperit de către firma de securitate cibernetică Symantec, Dragonfly operează încă din 2011. Pe lângă monitorizarea în timp real, software-ul malware permite operatorilor să întrerupă şi chiar să saboteze turbinele de vânt, conductele de gaze şi centralele nucleare – toate cu numai un click din mouse-ul computerului.

Atacurile provocate de Dragonfly au întrerupt sistemul de control industrial (ICS) al furnizorilor de echipament instalând virusul în timpul update-urilor instalate pe computerele care foloseau echipamentul ICS.

Potrivit Symantec, peste o mie de organizaţii din 84 de ţări au fost afectate în ultimele 18 luni.

Cele mai multe ţinte se aflau în Statele Unite, Spania, Franţa, Italia, Germania, Turcia, şi Polonia – toate ţările fac parte din Alianţa Nord Atlantică.

Datele scoase la iveală i-au determinat pe unii analişti să sugereze că atacurile au fost orchestrate de Rusia, care caută să menţină o zonă de siguranţă între Federaţia Rusă şi ţările NATO.

Dacă ţinem cont de ora atacurilor cibernetice – desfăşurate în timpul orelor lucrătoare – şi de faptul că acestea ţinteau datele strategice, analiştii cred că atacurile au fost sprijinite de un guvern.

Aparent, atacurile sunt continue deoarece companiile din sectoarele de energie continuă să sufere pagube şi interferenţe ale furnizorilor de energie din ţările cele mai afectate.

Se crede că grupul Dragonfly are la dispoziţie o gamă largă de virusuri şi în general unelte malware pentru a întrerupe sistemele computerizate, în special sistemele de control industrial. Sursele cred că virusul operează similar cu Stuxnet, virusul folosit de Statele Unite şi de Israel împotriva programului nuclear al Iranului, întrerupând funcţionarea centrifugelor folosite la îmbogăţirea uraniului.

Conform Symantec, Dragonfly foloseşte două unelte malware principale – un backdoor - Oldrea şi un trojan - Karagany. Trojanul Karagany pare să fie un malware scris special în acest scop.

Eric Chien din partea Symantec Security Technology and Response Team a afirmat pentru Bloomberg că tipul de acces pe Dragonfly îl are indică la ceva mai mult decât o operaţiune de spionaj.

”Când ei au acest gen de acces, motivaţia lor nu este spionajul”, a afirmat Chien. ”Când ne uităm la ceea ce fac, ne îngrijorăm foarte mult în privinţa sabotajului”.

”Cel mai rău scenariu ar fi dacă sistemele s-ar închide”, a adăugat acesta. ”Ai putea să vezi cum se întrerupe curentul, de exemplu, şi ar putea exista interferenţe în acest sens”.

FBI a descoperit că ”Ugly Gorilla”, un hacker chinez care ţintea sistemele companiilor de utilităţi a întrerupt căldura şi a deteriorat conductele, la un moment dat, în SUA. Se spunea că hackerul muncea pentru Armata de Eliberare a Poporului, armata chineză. Hackerul a fost condamnat pentru spionaj economic de un juriu din Statele Unite, în contumacie, în luna mai.

Cât despre hackerii Dragonfly, aceştia sunt emreu cu un pas înaintea antiviruşilor, care ar putea rezolva problema. Hackerii au compromis multe din pachetele de software-uri legitime ale furnizorilor de echipamente ICS. Malware-ul a fost introdus în aceste versiuni de update ale software-ului, compromiţând orice download înainte să poată fi folosit şi, odată implementate, agravând problemele cibernetice ale sistemelor de control industrial.

Acum că s-a descoperit că aceste unelte software folosite la atacurile împotriva sistemelor de control industrial, Symantec a dezvăluit un software antivirus de detectare a uneltelor malware.