Jak podkreśla jeden z analityków, Eric Chien:
– Jest różnica pomiędzy tym, że jest się krok od możliwości przeprowadzenia sabotażu, a faktyczną możliwością jego przeprowadzenia, czyli w praktyce wyłączenia dostaw energii – Chien dodaje, że w Stanach Zjednoczonych to sytuacja bez precedensu. Nigdy wcześniej jakakolwiek grupa nie doszła do tego punktu, jeśli chodzi o tak strategiczny sektor gospodarki jak energetyka.
Jedynym porównywalnym przypadkiem była seria skutecznie przeprowadzonych ataków na ukraińską sieć energetyczną, co na przełomie 2015 i 2016 roku spowodowało przerwy w dostarczaniu energii na Ukrainie. Wówczas firmy FireEye i Dragos, specjalizujące się w cyberbezpieczeństwie, przypisały ataki grupie hakerów o nazwie Sandworm, a sama operacja miała być prowadzona z Rosji.
Symantec nie przypisuje najnowszych ataków jakiemukolwiek państwu, nieznane są również motywy działania hakerów. Zdaniem Erica Chiena, nie widać powiązania pomiędzy grupami Sandworm a Dragonfly 2.0. Co prawda analitycy znaleźli kilka ciągów rosyjskojęzycznych w badanym kodzie malware’u, wykorzystanym przez grupę Dragonfly 2.0, ale kod zawierał również frazy francuskojęzyczne. Zatem, jak podkreśla ekspert Symanteca, oskarżanie Francji czy Rosji byłoby nadużyciem. Każdy z języków wykrytych w kodzie złośliwego oprogramowania może być celowym ślepym tropem, który ma mylić analityków.
Firma antywirusowa zwraca też uwagę, że ataki prowadzone przez Dragonfly 2.0 były wymierzone wyłącznie w nienuklearne elementy infrastruktury energetycznej Stanów Zjednoczonych, gdzie rozgraniczenia pomiędzy siecią informatyczną połączoną z internetem a wewnętrzną siecią sterującą bezpośrednio produkcją i przesyłem energii są mniej restrykcyjne.
Wszystkie ataki grupy Dragonfly 2.0 były prowadzone w podobny sposób (metodyka działania to ślad definiujący agresora). Najpierw ofiara – pracownik instytucji energetycznej – był nakłaniany do instalacji złośliwego oprogramowania. Stosowano m.in. fałszywe zaproszenia na noworoczną imprezę czy rozwiązanie określane jako tzw. taktyka wodopoju (watering hole attack). Polega na tym, że agresor najpierw monitoruje z jakich serwisów internetowych najczęściej korzystają pracownicy instytucji-celu, a następnie atakowane są właśnie te serwisy, po to, by odwiedzający je później pracownicy zostali zainfekowani.
Sama infekcja to jednak dopiero początek – malware, który przedostaje się na komputery, działające w sieci firmy energetycznej, ma za zadanie przechwycić uprawnienia (loginy, hasła itp.) osób upoważnionych do sterowania pracą sieci. O tym jak dalece wyrafinowane mogą być tego typu próby świadczy wspomniany wyżej udany atak na ukraińską sieć energetyczną. Grupie Sandworm udało się przejąć kontrolę nad… kursorami myszy w komputerach inżynierów, sterujących pracą sieci energetycznej. Atakujący ręcznie klikali dziesiątki wyłączników i tak odcinali dostawy prądu. Pozbawili energii około ćwierć miliona mieszkańców Ukrainy.
Skoro jednak hakerom udało się uzyskać bezpośredni dostęp, umożliwiający kontrolę nad przynajmniej częścią sieci energetycznej Stanów Zjednoczonych, dlaczego z tego nie skorzystali i nie wyłączyli dostaw? Eric Chien wyjaśnia, że hakerzy mogą czekać na sytuację, która będzie bardziej użyteczna strategicznie – np.: wybuch konfliktu zbrojnego, bądź okoliczności, w których zechcą odwieść Stany Zjednoczone od przeprowadzania własnych działań cybernetycznych, wymierzonych w inny kraj.
Symantec pomógł zaatakowanym instytucjom w neutralizowaniu skutków ataku, ale firma jednocześnie przestrzega, aby firmy nie poprzestawały na usuwaniu wykrytego złośliwego kodu, ale też możliwie często zmieniały dane uwierzytelniające dostęp pracowników do krytycznych punktów sieci.
Grupa Dragonfly 2.0 jest cały czas aktywna. Według danych Symanteca, zajmuje się infiltracją sieci energetycznych co najmniej od siedmiu lat. | CHIP