סימנטק: האקרים חדרו למערכות החשמל בארצות הברית ובאירופה

חוקרים מסימנטק (Symantec) הזהירו כי "קבוצת התקפה מתוחכמת" מתמקדת בתחום האנרגיה באירופה ובצפון אמריקה, ועושה זאת כבר מזה זמן מה. לטענת החברה, הקבוצה, הידועה בשם Dragonfly, זוהתה כמבצעת תקיפות מאז 2011, ובאחרונה העבירה הילוך.

ב-2015 וב-2016 ביצעה הקבוצה קמפיין מתקפות בשם Dragonfly 2.0, שכלל שיבושים במערכת החשמל האוקראינית. לטענת סימנטק, באחרונה, ולאחר תקופה שקטה, החלה שוב הפעילות של הקבוצה, עם מטרות פגיעה בארצות הברית, טורקיה ושוויץ. בראש רשימת היעדים החמים שלה נמצאים מתקני האנרגיה, שפגיעה בהם עלולה להוביל לתוצאות הרסניות.

לדברי ענקית אבטחת המידע, "קבוצת Dragonfly נראית מעוניינת הן ללמוד כיצד מתקני האנרגיה פועלים והן לקבל גישה למערכות התפעוליות עצמן, עד כדי כך שלקבוצה יש כבר כעת את היכולת הפוטנציאלית לחבל או להשתלט על מערכות אלה, אם תחליט לעשות זאת".

דלתות אחוריות כבר ממתינות לכל צורך

התוקפים השתמשו בדלתות אחוריות (Backdoors) לצורך קבלת כניסה והשתלטות על מערכות, ועובדים במגזר האנרגיה קיבלו מיילים זדוניים ממוקדים.

בדו"ח שלה מסבירה סימנטק כי "ב-2014 ציינו כי קבוצת Dragonfly פגעה בתוכנה לגיטימית על מנת להדביק קורבנות בתוכנות זדוניות – פרקטיקה שהופיעה גם בקמפיינים הקודמים, ב-2011. בקמפיינים של 2016 ו-2017 הקבוצה משתמשת במסגרת התחמקות Shellter בכדי לפתח סוסים טרויאניים, ובפרט דלת אחורית. Dorshel פותחה כגרסה טרויאנית של אפליקציות Windows סטנדרטיות".

לסימנטק יש גם הוכחות, לדבריה, לכך שקבצים המתחזים לעדכוני פלאש (Flash) עלולים לשמש להתקנת דלתות אחוריות זדוניות על גבי רשתות יעד – אולי באמצעות שימוש בהנדסה חברתית, בכדי לשכנע את הקורבנות שעליהם להוריד עדכון עבור נגן הפלאש שלהם. זמן קצר לאחר ביקור בכתובות אתרים ספציפיות, נראה קובץ בשם install_flash_player.exe על מחשב הקורבן, שזמן קצר אחריו צצה הדלת האחורית Trojan.Karagany.B.

לפי הסברי סימנטק, בדרך כלל התוקפים יתקינו דלת אחורית אחת או שתיים על מחשבי הקורבנות, בכדי לתת להם גישה מרחוק ולאפשר להם להתקין כלים נוספים במידת הצורך. Goodor ,Karagany.B ו-Dorshel הן דוגמאות לדלתות אחוריות שנמצאות כבר כעת בשימוש, יחד עם Trojan.Heriplor.

כרגע נראה שהקבוצה אוספת נתונים "בלבד", אבל סימנטק חוששת שזה יכול להיות השקט שלפני הסערה. "הקמפיינים של Dragonfly 2.0 מראים כיצד התוקפים יכולים להיכנס לשלב חדש, כשקמפיינים חדשים יכולים לספק להם גישה למערכות תפעוליות – גישה שניתן להשתמש בה למטרות מטרידות יותר בעתיד", נכתב בדו"ח.

האם רוסיה מעורבת?

לפי דיווח ברויטרס (Reuters), בינתיים לא ברור לחלוטין מי עומד מאחורי Dragonfly, אבל יש רמזים למעורבות רוסית. סימנטק אמנם לא ציינה מפורשות את הקרמלין בדו"ח שלה, אך מסרה שהתוקפים השתמשו במיתרי קוד ברוסית.

ביוני הזהירה ממשלת ארצות הברית חברות תעשייתיות בנוגע לקמפיין פריצה המכוון לתחום הגרעין והאנרגיה, ומסרה בהודעה שעליה מדווחת סוכנות הידיעות כי האקרים שלחו הודעות פישינג בכדי לאסוף את האישורים, על מנת לקבל גישה לרשתות ממוקדות.

החוקר אריק צ'יאן מסימנטק אמר שסביר שהתראה זו התייחסה בדיוק לאותו קמפיין שעליו דיברה ושאחריו עוקבת החברה. הוא ציין שעשרות חברות שימשו יעד ממוקד למתקפה ושקומץ מהן, כולל בארצות הברית, נפגע במישור המבצעי. רמה זו של גישה פירושה שכל מה שצריך כדי שההאקרים יוציאו עוד מתקפות, וגדולות יותר, הוא מוטיבציה.