Dragonfly

 

Keyfacts

  • entdeckt: erste Welle 2014, zweite Welle 2017
  • sicher aktiv seit: 2011
  • letzte Aktualisierung: unbekannt
  • Verbreitung: Spear Phishing, Watering hole Attacken, infizierte E-Mails
  • Infektion und Replikation:  keine automatische Weiterverbreitung sondern gezielte Attacken
  • Hauptziel: Vorfeldaufklärung und Vorbereitung von Sabotage gegen die Infrastruktur von Stromversorgungsunternehmen</
  • Vermutliche Herkunft: Unbekannt, vermutlich staatlicher Ursprung

Relevante Dokumente

Dragonfly group's activities 2015/2016
Q: Symantec.com
Bei Dragonfly handelt es sich um eine Hacker-Gruppe deren Aktivitäten 2014 durch das IT-Sicherheitsunternehmen Symantec aufgedeckt worden ist. Bereits damals standen die Aufklärung und Infilatration von Unternehmen aus dem Energiesektor in Europa und den USA im Mittelpunkt der Aktivitäten, mutmaßlich für die Vorbereitung von Sabotage. Nachdem die Gruppe als Reaktion auf die Veröffentlichungen daraufhin im Verborgenen blieb began sie Ende 2015/Anfang 2016 mit neuerlichen Hacking-Attacken, erneut auf Stromversorgungsunternehmen aus den USA, der Türkei und der Schweiz. Die Gruppe soll mindestens seit 2011 aktiv sein.

Die Angreifer haben mit vielfältigen Methoden wie Spear-Phishing, Watering hole Attacken und E-Mails mit infizierten Anhängen versucht an Nutzer- und Zugangsdaten von Mitarbeitern der Unternehmen zu gelangen und so den Zugriff auf Verwaltungssysteme zu erlangen. In einigen Fällen gelang ihnen dies, sodass sie sich von den so eroberten Systemen ausgehend schrittweise in den betroffenen Unternehmens-Netzwerken vorarbeiten und weitere Systeme, bis hin zu Steuerungssystemen übernehmen konnten:

Typically, the attackers will install one or two backdoors onto victim computers to give them remote access and allow them to install additional tools if necessary. Goodor, Karagany.B, and Dorshel are examples of backdoors used, along with Trojan.Heriplor (Q: Symantec.com)

In keinem der analysierten Vorfälle wurde Zugriffsmöglichkeiten auf Steuerungssysteme tatsächlich für Sabotage ausgenutzt, sodass es sich den Analysten zufolge vermutlich eher um Aufklärungs- und Vorfeldaktivitäten handelt:

The Dragonfly group appears to be interested in both learning how energy facilities operate and also gaining access to operational systems themselves, to the extent that the group now potentially has the ability to sabotage or gain control of these systems should it decide to do so. Symantec customers are protected against the activities of the Dragonfly group. (Q: Symantec.com)

Tatsächlich ähnelt dieses Vorgehen den Hacking-Attacke mit Stromausfall in der Ukraine Ende 2015, bei dem mit Hilfe entwendeter Zugangsdaten Steuerungssysteme übernommen und ein Kraftwerk vom Netz getrennt werden konnte.

Bei der Frage nach dem Ursprung der Attacken kommen die Autoren der Analyse zu dem Schluss, dass es sich  bei Dragonfly um eine sehr gezielt agierende Gruppe handelt die ihre Hilfsmittel sehr vorsichtig und punktgenau einsetzt und dabei auf sehr auf Verborgenheit achtet. Andererseits haben die Angreifer bislang keine Zero-Day-Exploits verwendet und nutzten auch des öfteren Hilfsmittel „von der Stange“ – entweder aufgrund fehlender Ressourcen oder vielleicht auch weil dieses Vorgehen bereits zielführend war. Während die Wahl der Ziel eine recht eindeutige Sprache sprechen bleibt es dennoch unklar ob es sich um staatliche Akteure handelt. Aber:

What is clear is that Dragonfly is a highly experienced threat actor, capable of compromising numerous organizations, stealing information, and gaining access to key systems. What it plans to do with all this intelligence has yet to become clear, but its capabilities do extend to materially disrupting targeted organizations should it choose to do so. (Q: Symantec.com)