Informacja CERT.GOV.PL w związku z zagrożeniem „Dragon Fly”
Transkrypt
Informacja CERT.GOV.PL w związku z zagrożeniem „Dragon Fly”
CERT.GOV.PL Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/709,Informacja-CERTGOVPL-w-zwiazku-z-zagrozeniem-Dragon-Fly.html Wygenerowano: Czwartek, 2 marca 2017, 11:54 Informacja CERT.GOV.PL w związku z zagrożeniem „Dragon Fly” Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL informuje o nowym zagrożeniu, które zostało określone jako kampania cyberszpiegowska „Dragon Fly”. Celem tej kampanii są przed wszystkim przedsiębiorstwa z sektora energetycznego obejmujące operatorów przesyłowych oraz elektrownie. Działania cyberszpiegowskie prowadzone są za pomocą złośliwego oprogramowania (malware) typu Trojan pozwalającego na zdalny dostęp do sieci teleinformatycznych przedsiębiorstw. W celu przeprowadzenia infekcji, malware umieszczony został przez cyberprzstępców w paczkach zawierających aktualizacje oprogramowania do systemów obsługujących systemy sterowania przemysłowego. Skuteczna infekcja umożliwia zarówno dostęp do sieci danej instytucji jak również stwarza dodatkowo możliwość nieuprawnionego, zdalnego sterowania instalacjami przemysłowymi ze stanowiska przejętego przez cyberprzestępców. Wśród krajów zagrożonych kampanią znalazły się głównie Stany Zjednoczone, Hiszpania i Francja, jednakże dotknęło ono także Polskę. Według informacji firmy Symantec, która umieściła informacje o wykryciu zagrożenia „Dragon Fly”, kampania składała się z trzech głównych faz i ewoluowała pod względem stosowanego wektora ataku. Faza pierwsza wykorzystywała spreparowane wiadomości email ze złośliwymi załącznikami typu PDF adresowanymi do osób z obszaru docelowego. Następnie przeprowadzono działania typu „watering holes” polegające na kompromitacji stron dotyczących sektora przemysłowego i przekierowywaniu za pomocą „/iframe/” użytkowników wchodzących na strony do stron złośliwych z malwarem, który wykorzystywał podatności przeglądarek do instalacji złośliwego oprogramowania. Ostania faza objęła działania w postaci umieszczania w paczkach aktualizacyjnych do oprogramowania sterowania przemysłowego dedykowanego Trojana, pobieranego przez użytkowników sektora energetycznego ze skompromitowanych stron producentów. Głównymi typami złośliwego oprogramowania używanego w kampanii są: ● ● Backdoor.Oldrea Trojan.Karagan należące do kategorii malware-u typu „remote access tool”. W przypadku podejrzenia zainfekowania komputera w/w złośliwym oprogramowaniem należy wykonać pełne skanowanie programem antywirusowym z najnowszą bazą definicji wirusowych. Gdy program antywirusowy nie może sobie poradzić z usunięciem zagrożenia należy skorzystać ze specjalizowanego narzędzia, np.: Symantec Norton Power Eraser ( https://security.symantec.com/nbrt/npe.aspx?lcid=1033. W przypadku gdy oprogramowanie w dalszym ciągu nie może poradzić sobie z usunięciem zagrożenia, należy skorzystać z narzędzi i instrukcji umieszczonych pod adresem https://security.symantec.com/nbrt/nbrt.aspx?lcid=1033. Jeżeli infekcji uległy pliki systemowe Windows należy je zastąpić oryginalnymi plikami znajdującymi się na płycie instalacyjnej systemu Windows (szczegóły dostępne są tutaj). W związku z przedmiotowym zagrożeniem Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL podjął działania informacyjne skierowane do sektora energetycznego zmierzające do ograniczenia możliwości eskalacji zagrożenia w sieciach i systemach dotkniętych cyberkampanią. CERT.GOV.PL informuje także, że w sieci Internet został opublikowany szczegółowy, techniczny raport firmy Symantec „Dragonfly Cyberespionage Attacks Against Energy Suppliers” z analizą „Dragon Fly”, który zawiera opis kampanii, dane techniczne odnośnie malware-u oraz szczegóły jego działania. Raport dostępny jest w dokumencie: Dragonfly_Threat_Against_Western_Energy_Suppliers.pdf cyberszpiegostwo, Dragon Fly, malware, trojan Ocena: 4.3/5 (4)