Открадни ми тока
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Открадни ми тока

Атаките от този тип не са нещо ново, но придобиват притеснителна мащабност.

Открадни ми тока

Хакерската група Dragonfly атакува енергийни системи и компютри, като напада цели и в България

Мартин Дешев
5803 прочитания

Атаките от този тип не са нещо ново, но придобиват притеснителна мащабност.

© Reuters


Четвъртата част на популярната холивудска поредица "Умирай трудно" с Брус Уилис поставя неговия герой Джон Маклейн в неравностойна битка с група хакери, които превземат индустриални и институционални компютърни системи и се сдобиват с цялата информация и с пълен контрол над тях. През 2007 г. филмът може и да е изглеждал като хипербола, но седем години по-късно може би сме по-близо до подобен пробив, отколкото се очакваше. В началото на седмицата компанията за киберсигурност Symantec обяви, че е открила продължителна и мащабна хакерска кампания за кибершпионаж. Тя обхваща множество цели в различни държави по света, сред които и България. В мишената на хакерска група, която е известна с името Dragonfly (Водно конче), попадат най-вече компании от енергийния сектор. Сред атакуваните от групата фирми са оператори на енергийни мрежи, големи компании за производство на електрическа енергия, оператори на петролопроводи, както и доставчици на съоръжения за енергийната индустрия.

От Symantec изчисляват, че по тези начини може би са заразени системи на над 1000 компании по света. Най-много са атаките към европейски енергийни фирми от Испания, Франция, Германия, Полша, Турция, Италия, Сърбия, Румъния и Гърция. Засечени са много атаки и в САЩ и други държави по-света. От компанията отговориха за "Капитал", че на българска територия са засечени 10 заразени компютъра. Шест от тях са представлявали интерес за хакерите. За съжаление Symantec не са успели да идентифицират от кой сектор са инфектираните компютри, но засичат активност на вирусите с въпросните шест машини периодично от 15 май т.г. до днес. На базата на останалата информация за активността на Dragonfly "Капитал" потърси за коментар представители на български енергийни компании. От електроразпределителните дружества ЧЕЗ и ЕВН обявиха, че няма пробив в техни компютри както в България, така и в мрежата на компаниите майки в Европа. Представители на двете фирми обявиха, че разполагат с модерни системи за сигурност и постоянно следят за възможни пробиви. "ТЕЦ "ЕЙ И ЕС Гълъбово" не е засегната от атаки на вируса", обяви и Петър Радев, директор "ИТ Инфраструктура" за регион ЕМЕА на американската енергийна компания AES.

Висока класа

Хакерската група Dragonfly се отличава с добрите си ресурси и познания, богата гама от компютърни вируси и широко разнообразие в методите на атака, отбелязват от Symantec. Това не е случайна група, която просто иска да тества способностите си. Тя е наясно какво върши и действа професионално. Обикновено първо инфектира системите на компаниите, които разработват софтуер за индустриални системи за контрол чрез т.нар. троянски кон, който дава достъп до вътрешната инфраструктура. Хакерите заразяват файл в приложенията и администраторите на компаниите дори не разбират, че вместо да инсталират най-новия софтуер, "отварят" компютрите за вируса. Веднъж инсталиран, "троянецът" се "скрива" в системата и осигурява на хакерите както пълен достъп до мрежата и данните в нея, така и възможност за управление на инфектираните компютри и саботирането им от разстояние. Dragonfly разчитат и на класическите методи за атака чрез спам имейл и подлъгващи линкове.

Кампанията на Dragonfly наподобява тази на Stuxnet, който обаче беше насочен към ядрената програма на Иран с цел саботаж. Тази на Dragonfly е с много по-широк фокус, като основната й цел е кибершпионаж. Не е известно дали са били извършвани саботажи, макар и възможностите за това да са налице. Symantec са уведомили засегнатите компании. Първите данни за Dragonfly датират от 2011 г., като е възможно групата да е работила и от по-рано. Тогава тя е била известна си името Energetic Bear, като първоначално е била съсредоточена в атаки срещу компании в САЩ и Канада, които са били свързани предимно с отбраната и авиацията. През 2013 г. се пренасочва към енергийните компании. Според Symantec има немалка вероятност Dragonfly да е спонсорирана от някоя държава с високо ниво на технически познания. Компанията е прекарала доста време в проследяване на действията на групата, като знае, че е активна най-вече в понеделник и петък във времето на работния ден във времева зона четири часа източно от Гринуич, което посочва, че атакуващите най-вероятно се намират в Източна Европа.

Къде е Джон Маклейн

От Symantec целенасочено не разкриват имената на атакуваните компании. Фирмата обаче дава малко подробности за разработчиците на софтуер, чиито специализирани програми са били компрометирани от Dragonfly и използвани за разпространение на троянския код. Една от тях специализира в осигуряването на VPN достъп за управление на контролни центрове от разстояние. Тя бързо е открила пробива, но вече са били изтеглени 250 копия на софтуера. Друга компрометирана фирма създава подобен софтуер за специализирани устройства. При нея опасната версия на програмата е била налична за изтегляне шест седмици през юни и юли миналата година. Третата компания създава системи за управление за енергийна инфраструктура, включително и вятърни турбини и заводи за биогаз.

Dragonfly целенасочено е атакувала създателите на софтуер, а не енергийните гиганти директно. Системите за сигурност на последните са на много високо ниво, докато повечето софтуерни компании, особено по-малките, не могат да се похвалят с толкова сигурна инфраструктура. За сметка на това обаче те се ползват с доверие от енергийните компании и така "настаняването" на троянския кон става по-лесно от очакваното. Проучването на Symantec показва, че Dragonfly използват както познати зловредни кодове, така и такива, които или са написани специално за тях, или са създадени от самите тях.

И докато в "Умирай трудно 4" Джон Маклейн все пак разбира кой стои зад хакерските атаки, в случая на Dragonfly това, изглежда не е така. Symantec не дава подробности за конкретното местоположение на хакерите, тъй като не изглежда компанията да е успяла да проследи нейна атака в реално време, а разследва предимно оставените от нея следи след това. Бившият служител на МИ6 и британското военно разузнаване Стюарт Пул-Роб обяви пред в. Financial Times, че Dragonfly е част от руското контраразузнаване. Самото издание пък посочва, че в миналото Китай се е занимавал с подобна хакерска дейност срещу енергийни компании и е прикривал дейността си чрез руски сървъри. Symantec обаче не се наема да конкретизира евентуалното местоположение на групата. Разбира се, нито една от двете държави не потвърждава подобно нещо.

Самият енергиен шпионаж не е нещо ново. Още през 2010 г. беше феноменът на Stuxnet. След това ФБР разкри китайски хакер, който се е опитвал да преодолее защитите на американски енергиен гигант, за да може да саботира газопроводите му. През май т.г. започна и дело срещу него. Кибервойната продължава, като разузнавателните агенции на държавите постоянно следят хакерски групи и се опитват да научат методите им и да разработят системи за превенция преди да е станало твърде късно.

Четвъртата част на популярната холивудска поредица "Умирай трудно" с Брус Уилис поставя неговия герой Джон Маклейн в неравностойна битка с група хакери, които превземат индустриални и институционални компютърни системи и се сдобиват с цялата информация и с пълен контрол над тях. През 2007 г. филмът може и да е изглеждал като хипербола, но седем години по-късно може би сме по-близо до подобен пробив, отколкото се очакваше. В началото на седмицата компанията за киберсигурност Symantec обяви, че е открила продължителна и мащабна хакерска кампания за кибершпионаж. Тя обхваща множество цели в различни държави по света, сред които и България. В мишената на хакерска група, която е известна с името Dragonfly (Водно конче), попадат най-вече компании от енергийния сектор. Сред атакуваните от групата фирми са оператори на енергийни мрежи, големи компании за производство на електрическа енергия, оператори на петролопроводи, както и доставчици на съоръжения за енергийната индустрия.

От Symantec изчисляват, че по тези начини може би са заразени системи на над 1000 компании по света. Най-много са атаките към европейски енергийни фирми от Испания, Франция, Германия, Полша, Турция, Италия, Сърбия, Румъния и Гърция. Засечени са много атаки и в САЩ и други държави по-света. От компанията отговориха за "Капитал", че на българска територия са засечени 10 заразени компютъра. Шест от тях са представлявали интерес за хакерите. За съжаление Symantec не са успели да идентифицират от кой сектор са инфектираните компютри, но засичат активност на вирусите с въпросните шест машини периодично от 15 май т.г. до днес. На базата на останалата информация за активността на Dragonfly "Капитал" потърси за коментар представители на български енергийни компании. От електроразпределителните дружества ЧЕЗ и ЕВН обявиха, че няма пробив в техни компютри както в България, така и в мрежата на компаниите майки в Европа. Представители на двете фирми обявиха, че разполагат с модерни системи за сигурност и постоянно следят за възможни пробиви. "ТЕЦ "ЕЙ И ЕС Гълъбово" не е засегната от атаки на вируса", обяви и Петър Радев, директор "ИТ Инфраструктура" за регион ЕМЕА на американската енергийна компания AES.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

2 коментара
  • 1
    xyha avatar :-|
    xyha

    Прах в очите, рано е още за кибер-войни - системите не са толко автономни .

  • 2
    kas. avatar :-|
    kas.

    Не става много ясно каква е целта на тази атака. Шпионаж е твърде широко понятие. И зали е зловредна или не е?


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK