Атаки на энергосети США могли совершить русскоязычные хакеры, базирующиеся в Восточной Европе.
Газета Wall Street Journal со ссылкой на министерство внутренней безопасности (МВБ) США написала в понедельник, что «российские хакеры» получили доступ к энергосетям США и могут вызвать отключение электроэнергии. По мнению сотрудников ведомства, группа Dragonfly, которую ранее МВБ и ФБР называли российской, в ходе продолжительной кампании проникла в сети сотен электроэнергетических компаний США, ряд из которых до сих пор могут не знать о вмешательстве хакеров в их системы.
Эксперты Group-IB сообщили, что группа Dragonfly известна также под именами Energetic Bear, Crouching Yeti, Group 24, Koala Team и Anger Bear. Впервые она была замечена в 2010 году. Группа совершала атаки на различные объекты в США и Европе. В 2014 году Dragonfly атаковали строительную компанию в России, которая специализируется на проектировании конструкций.
«Учитывая временные метки компиляции вредоносного программного обеспечения, используемого Dragonfly, исследователями было выдвинуто предположение, что злоумышленники базируются в Восточной Европе», — рассказали в Group-IB.
«По нашим данным, за этими APT-атаками (целевыми атаками — ред.) стоят русскоговорящие авторы. Первые инциденты датируются 2010 годом, «Лаборатория Касперского» обнаружила атаки Crouching Yeti/Energetic Bear (она же Dragonfly — ред.) в 2014 году», — сообщили в «Лаборатории Касперского».
Как это работает?
По словам экспертов Group-IB, группа Dragonfly использует единую отработанную схему кибератак.
«Группа Dragonfly использует методы атаки, которые построены главным образом на установке вредоносных программ в систему и запуске исполняемых файлов на зараженных компьютерах. Они способны запускать дополнительные плагины, такие как инструменты для сбора паролей и снятия скриншотов на зараженных машинах», — рассказали они.
Первая серия атак Dragonfly состояла из отправки вредоносных программ в фишинговых письмах работникам целевых организаций. Затем, на втором этапе группа добавляла атаки методом «watering hole» — злоумышленники заражали вредоносным ПО веб-сайты, часто посещаемые их потенциальными жертвами. К таким веб-ресурсам относятся сайты компаний-партнеров или подрядчиков, общественных организаций и правительственных учреждений.
«Третий этап кампании состоял в «троянизировании» (заражении троянами — ред.) пакетов легитимного программного обеспечения, принадлежащих различным производителям Industrial Control System (ICS) оборудования», — сообщили они.
Незащищенная инфраструктура
Специалисты «Лаборатории Касперского» отметили, что в последнее время все чаще можно услышать об атаках злоумышленников на объекты критической инфраструктуры. «Один из нашумевших примеров проникновения на энергетические объекты – атака BlackEnergy, которая привела к отключению электроэнергии в нескольких районах Украины в 2015 году», — напомнили они.
Угрозы от таких кибератак очень велики, считают эксперты. Так, атаки на промышленные системы могут повлиять не только на отдельно взятое предприятие, но и на жизнь обычных людей.
«На сегодняшний день довольно сложно судить о том, насколько часто происходят подобные инциденты, так как зачастую пострадавшие организации о них не сообщают», — сообщили они.
