Das IT-Sicherheitsunternehmen Symantec hat vor wenigen Tagen einen Bericht (lokale Kopie) veröffentlicht, in dem erfolgreiche Hacking-Attacken einer bestimmten Gruppen namens Dragonfly auf Stromversorgungsunternehmen aus den USA, der Türkei und der Schweiz dokumentiert und analysiert werden. Die Gruppe soll mindestens seit 2011 aktiv sein und ist in den vergangenen beiden Jahren wieder verstärkt in Erscheinung und Aktivität getreten.
In keinem der analysierten Vorfälle wurde Zugriffsmöglichkeiten auf Steuerungssysteme tatsächlich für Sabotage ausgenutzt, sodass es sich den Analysten zufolge vermutlich eher um Aufklärungs- und Vorfeldaktivitäten handelt:
The Dragonfly group appears to be interested in both learning how energy facilities operate and also gaining access to operational systems themselves, to the extent that the group now potentially has the ability to sabotage or gain control of these systems should it decide to do so. Symantec customers are protected against the activities of the Dragonfly group. (Q: Symantec.com)
In allen Fällen haben die Angreifer über vielfältige Methoden wie Spear-Phishing, Watering hole Attacken und E-Mails mit infizierten Anhängen versucht an Nutzer- und Zugangsdaten von Mitarbeitern der Unternehmen zu gelangen und so den Zugriff auf Verwaltungssysteme zu erlangen. Von den so eroberten Systemen ausgehend haben sich die Angreifer schrittweise vorgearbeitet und weitere Systeme übernommen:
Typically, the attackers will install one or two backdoors onto victim computers to give them remote access and allow them to install additional tools if necessary. Goodor, Karagany.B, and Dorshel are examples of backdoors used, along with Trojan.Heriplor (Q: Symantec.com)
Tatsächlich ähnelt dieses Vorgehen den Hacking-Attacke mit Stromausfall in der Ukraine und es bleibt angesichts der Debatten über die Qualität und Lückenhaftigkeit von Software ein kleiner Beruhigungstropfen, dass „nur“ die „Schwachstelle Mensch“ als Zugriffsvektor ausgewählt wurde, denn das lässt vermuten und hoffen, dass der direkte Angriff der technischen Infrastruktur gut genug geschützt gewesen ist.
Bei der Frage nach dem Ursprung der Attacken kommen die Autoren der Analyse zu dem Schluss, dass es sich bei Dragonfly um eine sehr gezielt agierende Gruppe handelt die ihre Hilfsmittel sehr vorsichtig und punktgenau einsetzt und dabei auf sehr auf Verborgenheit achtet. Andererseits haben die Angreifer bislang keine Zero-Day-Exploits verwendet und nutzten auch des öfteren Hilfsmittel „von der Stange“ – entweder aufgrund fehlender Ressourcen oder vielleicht auch weil dieses Vorgehen bereits zielführend war. Während die Wahl der Ziel eine recht eindeutige Sprache sprechen bleibt es dennoch unklar ob es sich um staatliche Akteure handelt. Aber:
What is clear is that Dragonfly is a highly experienced threat actor, capable of compromising numerous organizations, stealing information, and gaining access to key systems. What it plans to do with all this intelligence has yet to become clear, but its capabilities do extend to materially disrupting targeted organizations should it choose to do so. (Q: Symantec.com)
Die Informationen zu Dragonfly finden sich auch in der Datenbank relevanter Cybervorfälle.