Reklama

Portal o energetyce

Operacja BugDrop wymierzona w ukraiński sektor energetyczny

Rowienskaja AES. Ukraina / CCO Public Domain
Rowienskaja AES. Ukraina / CCO Public Domain

Kampania phishingowa prowadzona głównie w ukraińskim sektorze energetycznym pozwoliła na zebranie ponad 600 gigabajtów danych. Ze względu na poziom przygotowania operacji BugDrop przypuszcza się, że hakerzy za nią odpowiedzialni mogą być powiązani z jedną z administracji państwowych.

Badaczom z CyberX po analizie całej kampanii nie udało się dokładnie ustalić, która z grup hakerskich może być odpowiedzialna za stworzenie Bugdrop. Udało się im jednak określić, że poziom zastosowanych rozwiązań przekracza znacznie możliwości zwykłej grupy przestępczej. Sama analiza 600 gigabajtów danych, które udało się wykraść hakerom, wymaga pokaźnego zaplecza technologicznego.

W dodatku tempo sprawdzania wykradzionych dokumentów i nagrań audio z zainfekowanych komputerów ma utrzymywać się na poziomie kilku gigabajtów dziennie. Takie możliwości posiadają firmy zajmujące się Big Data lub posiadające dużą liczbę pracowników działu analiz. Stąd zdaniem CyberX, za kampanię najprawdopodobniej odpowiedzialni są hakerzy pracujący dla administracji państwowej.

Wśród zaatakowanych przez Bugdrop znalazły się: firmy kontrolujące ropociągi i gazociągi; organizacje międzynarodowe monitorujące przestrzeganie praw człowieka, działania terrorystyczne i źródła ataku cybernetycznych na infrastrukturę krytyczną na Ukrainie; firmy inżynierskie projektujące stacje elektroenergetyczne, stacje odpowiedzialne działania gazociągów i stacje uzdatniania wody; instytuty naukowe; dziennikarze i redaktorzy ukraińskich portali i gazet.

Czytaj też: Wielka Brytania i Chiny razem przeciwko cyberprzestępcom

Choć większość ataków została zlokalizowana na Ukrainie, szczególnie w rejonie Doniecka i Ługańska, to infekcje pojawiły się także w innych państwach. Wśród liście znalazła się Rosja, Arabia Saudyjska i Austria.

Badacze z CyberX początkowo sądzili, że złośliwy kod zawarty w Bugdrop, zawiera wiele wspólnych elementów z kampanią Groundbait, wykrytą w maju ubiegłego roku. Mimo to eksperci podkreślają, że nowa kampania jest bardziej zaawansowana i może być wykonana przez inną grupę, która jedynie opierała swe działania na doświadczeniach poprzedników.

Infekcja komputerów opiera się w głównej mierze na udanej akcji phishingowej. Za pomocą wiadomości elektronicznych, na skrzynki poczty wysyłane są załączniki posiadające złośliwe oprogramowanie. Są to dokumenty programu Word, które po otwarciu proszą o włączenie obsługi makr, ponieważ plik został stworzony w nowszej wersji programu.

Po ich włączeniu komputer ofiary zostaje zainfekowany programem szpiegującym. Bugdrop nie tylko jest wstanie przechwycić dźwięk nagrany za pomocą mikrofonu urządzenia, ale także przesłać wszystkie tajne i prywatne dane zlokalizowane na dysku. Jak udało się ustalić ekspertom, wszystkie wykradzione informacje są przesyłane na konto Dropbox. Takie działanie posiada kluczową zaletę – usługa ta nie tylko nie jest blokowana w sieciach firmowych, ale miejscami nawet dostaje wysoki priorytet.

Reklama

Komentarze

    Reklama