„Napastnikom z grupy Dragonfly udało się wedrzeć do systemów informatycznych organizacji o strategicznym znaczeniu" – opisuje działanie hakerów oficjalny dokument firmy Symantec. „Mogli to wykorzystać do szpiegostwa, ale również do sabotażu, w wyniku którego mogło dojść do uszkodzenia sieci energetycznych w zaatakowanych krajach".

Inżynierowie Symanteca wyliczają państwa, w których działają dotknięte działaniami hakerów firmy. To głównie USA i Hiszpania, ale także Niemcy, Francja, Szwajcaria, Wielka Brytania, Polska, Włochy, Dania, Rumunia, Grecja, Serbia, Turcja, Kanada i Australia.

Niebezpieczne związki

Grupa Dragonfly (nazywana również Energetic Bear) jest profesjonalnie zorganizowana i działa co najmniej od 2011 roku. Dysponuje też zasobami wskazującymi na wsparcie ze strony jakiegoś rządu.

Analiza pakietów przesyłanych przez włamywaczy świadczy o tym, że pracują oni w strefie czasowej przesuniętej względem czasu uniwersalnego (UTC) o +4 godziny. To oznacza, że hakerzy działają w Europie Wschodniej, Rosji lub krajach arabskich.

Godziny ataków sugerują, że hakerzy pracowali w... biurze – od 9 rano do 18 po południu. Ich tydzień pracy zaczynał się w poniedziałek i kończył w piątek, co raczej eliminuje kraje muzułmańskie, w których piątki są wolne.

Nieoficjalnie wiadomo też, że w kodzie oprogramowania znaleziono tekst cyrylicą. Nie ma jednak pewności, czy nie jest to specjalnie podrzucony fałszywy trop.

– Wiemy jedno, na pewno byli dobrze przygotowani do ataku – mówi „Rz" Maciej Iwanicki z Symanteca. – To wskazuje, że byli dobrze zorganizowani. Nie znaleźliśmy jednak żadnych pewnych dowodów na to, kto za nimi stoi.

Jednak już wcześniej Dragonfly/Energetic Bear był podejrzewany o związki z Rosją. Hipotezę taką wysunęła kalifornijska firma CrowdStrike, która w specjalnym raporcie o zagrożeniach sieciowych ujawniła, że grupa, „która ma związki z Federacją Rosyjską", atakuje europejskie rządy, dostawców sprzętu wojskowego, instytucje ochrony zdrowia i wyższe uczelnie.

Technika ataku

Według firmy F-Secure, również zajmującej się bezpieczeństwem informatycznym, hakerzy zaczęli przejawiać zainteresowanie przemysłem energetycznym dopiero kilka–kilkanaście miesięcy temu.

– Przez pierwsze dwa lata ich aktywność koncentrowała się na przemyśle obronnym USA i Kanady – mówi Iwanicki z Symanteca. – W 2013 roku zaobserwowaliśmy przesunięcie ich aktywności do Europy.

Grupa ta prawdopodobnie odpowiada za włamania do ponad 1000 firm i instytucji w 84 krajach w ciągu ostatnich 18 miesięcy.

Włamywali się nie tylko do systemów firm, które mieli na celowniku, ale również do mniejszych i słabiej chronionych poddostawców.

Już w lutym 2013 roku hakerzy z Dragonfly rozpoczęli wysyłanie e-maili na skrzynki ofiar. Wszystkie listy pochodziły z jednego konta w usłudze Gmail. Nagłówki „Konto" czy „Sprawa opóźnienia dostaw" miały skłonić ofiary do kliknięcia w spreparowany załącznik – złośliwy kod zakamuflowany jako dokument PDF.

Od połowy ubiegłego roku grupa zaczęła stosować inną taktykę. Włamali się na strony często odwiedzane przez pracowników firm energetycznych i zainfekowali je specjalnym kodem, który umożliwiał zainstalowanie na komputerze ofiary „tylnego wejścia".

Wreszcie najbardziej ambitna sztuczka Dragonfly – włamanie do producentów urządzeń kontrolno-pomiarowych i zainfekowanie ich oprogramowania. Odtąd legalni dostawcy nieświadomie dostarczali złośliwy kod swoim klientom.

Hakerzy, w zależności od celu, wykorzystywali dwa różne pakiety umożliwiające im szpiegowanie i przejęcie kontroli nad zainfekowanymi maszynami. Jeden z nich został najprawdopodobniej napisany na ich zlecenie.

To jeszcze nie koniec?

Najgorsze jest jednak to, że nie wiadomo, czy – i ewentualnie co – wykradli włamywacze. Komunikacja między zainfekowanymi komputerami a serwerami przejętymi przez hakerów była zakodowana.

– Nie znamy zawartości zaszyfrowanych danych przesyłanych na serwery – przyznaje Maciej Iwanicki. – Narzędzia mogły podsłuchiwać ruch i rozpoznawać konfigurację sieci. I wreszcie oprogramowanie było modułowe, co oznacza, że nie znamy wszystkich zagrożeń. Ale teraz ich sposób działania został ujawniony, więc coś będą musieli zmienić.