Hakerzy spenetrowali sieć energetyczną w Europie i USA. Teraz czekają by zaatakować

Grupa Dragonfly jest zainteresowana przede wszystkim tym w jaki sposób działają systemy nadzorujące elektrownie oraz sieci energetyczne, a także zdobywaniem do nich dostępów. Grupa byłaby wstanie przejąć kontrolę nad systemami, jeśli podjęłaby taką decyzję -czytamy w raporcie firmy Symantec.

Celem ataków Dragonfly padły instytucje w Stanch Zjednoczonych, Turcji oraz Szwajcarii. Ataki przeprowadzane od 2015 roku były wymierzone w pracowników z sektora energetycznego i polegały na wyłudzaniu danych i zyskiwaniu dostępu do systemów. Jednym z pierwszych ataków był złośliwy e-mail rozsyłanym pod przykryciem zaproszenia na zabawę noworoczną w 2015 – czytamy w raporcie.

Zdobyte loginy i hasła były następnie wykorzystywane do przeprowadzania kolejnych ataków, oraz instalowania backdoroow, czyli programów, które umożliwiają dostęp do komputera ofiary bez jej wiedzy.

Wg raportu Symanteca** działalność grupy Dragonfly wygląda w tym momencie jak przygotowanie do większego, skoordynowanego ataku, **jak było w przypadku wirusów Stuxnet oraz Shamoon. Dyrektor technologiczny w Symantecu powiedział w wywiadzie dla ArsTechnica, że przed Dragonfly ma już wszystkie narzędzia do wykonania ataku, jeśli się na to zdecyduje.

Innego zdania są niektórzy eksperci z branży bezpieczeństwa sieci. W liście do ArsTechnica, szef Dragos Security, Robert Lee stwierdził, że aby wyłączyć sieć energetyczną w Stanach Zjednoczonych nie wystarczy dostęp do stacji roboczych pracowników. Chociaż atak podobny do tego, który w grudniu 2016 pozbawił prądu 225 tys. mieszkańców zachodniej Ukrainy, byłby możliwy w USA to nie przyniósł by, aż tak dużych skutków – pisze Lee w liście do ArsTechnica.

*- Nie pierwszy raz słyszymy o atakach hakerskich na systemy zasilania i infrastrukturę krytyczną *- mówi w rozmowie z WP Leszek Tasiemski ekspert z F-Secure. Wektor ataku był dość typowy, atakujący użyli najskuteczniejszej metody (według naszych badań działa w ponad 60% przypadków), czyli kampanii phishingowej. Niemal zawsze przyczółkiem są komputery biurowe, które mają dostęp do sieci Internet oraz poczty email. Dopiero po uzyskaniu takiego przyczółka atakujący mogą próbować uzyskać dostęp do maszyn operatorów sterujących systemami kontroli przemysłowej (ICS, Industrial Control Systems). Dopiero taki dostęp daje możliwość sabotażu, a nie "jedynie" kradzieży danych - tłumaczy Leszek Tasiemski.

- Kluczowym czynnikiem staje się odizolowanie maszyn sterujących infrastrukturą od tych, które są podatne na popularne ataki i ludzkie błędy wykorzystywane przez hakerów do zdobycia przyczółków - mówi ekspert. - Niestety, jest prawdopodobnie tylko kwestią czasu, kiedy zobaczymy na świecie kolejne akty sabotażu lub terroru z wykorzystaniem nowoczesnej technologii.