Řídící systémy více než tisícovky evropských a amerických energetik a průmyslových firem se staly terčem rozsáhlého a dlouhodobého útoku. Podle Symantec, která na ně upozornila, má útok kořeny v Rusku a jeho profesionalita napovídá o vládní podpoře. Cílil zejména na převzetí kontroly nad podnikovými systémy včetně řízení dodávek energií.
Útok na tisícovku západních energetik
Rozsáhlá kyberšpionáž dle Symantec zasáhla 1018 převážně energetických organizací v 84 různých zemích světa s důrazem na Evropu a Spojené státy. Cíli se stali operátoři energetických sítí, energetiky, operátoři ropovodů a plynovodů či velké průmyslové podniky. Útok cílil zejména na Španělsko, Spojené státy, Francii, Itálii, Německo, Turecko, Polsko, Rumunsko či Řecko. „Do roku 2012 se přitom tento typ útoků soustředil zejména na americký a kanadský obranný a letecký průmysl,“ upozorňuje Symantec s tím, že dlouhodobý útok na energetiky narůstal postupně 18 měsíců.
Symantecu je útočná skupina známá pouze jako „Dragonfly“ s prvními aktivitami na konci roku 2011. „Jde o velmi profesionální a organizovanou skupinu, která má motivaci cílit na a zcizovat údaje od západní energetik. Má pevný pracovní řád, od 9 hodin ráno do 6 hodin večer v pracovní dny východoevropského času (UTC +4). Vykazuje vysokou technickou úroveň a nese znaky státní podpory,“ uvedl Symantec.
Ovládnutí energetických sítí a systémů
Ve vzpomínkách odborníků a zúčastněných specialistů, krotících tuto aktivitu, vyvstává nástroj Stuxnet, použitý v minulosti proti Iránu. Stuxnet vyvinuly USA a Izrael a použit byl k průniku do iránských zařízení pro obohacování uranu a to dva roky zpět.
Dragonfly s jeho současnou generací útoků sledují IT specialisté zejména od počátku tohoto roku. Skupina se podle blogu Symantecu opírá zejména o dva malware nástroje: Backdoor.Oldrea a Trojan.Karagany, ale i řadu dalších nástrojů. Účelem je nabourat se do počítače, zcizit v něm data a přístupové údaje a ponechat si cestu otevřenou k dalším útokům na něj.
Podle Symantecu se Dragonfly podařilo již loni zasáhnout a ovládnout tři dodavatele kontrolních systémů pro průmysl. Malware se útočníkům podařilo integrovat přímo do oficiálních kontrolních systémů a k zákazníkům se dostal skrze řádné stahování softwarových updatů. Podle Symantecu byl nebezpečný software stažen do více než 250 průmyslových kontrolních systémů.
Kořeny v Rusku
Při rozsáhlých globálních útocích v minulosti opakovaně nastaly situace, kdy si útočníci, například hackeři z Číny, vybraly jako „zprostředkovatelskou“ zemi, odkud je útok veden, Rusko. Symantec dnes uvádí, že je přesvědčen o organizovaném a státem podporovaném postupu, který vykazuje původ v Rusku. „Zacílit takto profesionálně na celý sektor s jasným cílem získat strategická data a kontrolu vyžaduje určitou vládní podporu,“ uvedl například pro CNBC bezpečnostní expert a bývalý činitel MI6 Stuart Poole-Robb. „Jsou to lidé pracující s Fapsi a pracují ve prospěch Ruska,“ vyřkl pro CNBC. Fapsi (známá také jako Federal Agency of Government Communications and Information – FAGCI) je ruská agentura, zabývající se elektronickým sledováním.
„Zatímco jasným cílem Stuxnet byla sabotáž íránského jaderného programu, cíl Dragonfly je širší: špionáž, stálý přístup k podnikovým, zejména energetickým systémům, jejich kontrola a ovládání,“ shrnuje Symantec. Útok dle firmy začal individuálním zasíláním malwaru na vybrané činitele cílů – zejména energetických společností. Rozrostl se v plošné ataky a následně proniknutí do a napadení oficiálních softwarů.
