Il settore dell’energia in Europa e negli Stati Uniti è stato attaccato da un gruppo di hacker che ha infiltrato numerose aziende, in particolare negli Usa, in Turchia e in Svizzera, con tracce di attività anche in organizzazioni esterne a questi Paesi.
A dirlo è un rapporto della società americana di cybersicurezza Symantec, secondo la quale gli attaccanti avevano potenzialmente i mezzi per interrompere le operazioni delle loro vittime. Come vedremo però, ciò non si traduce automaticamente nel rischio di blackout. Anche se quella appena rilevata appare come una campagna seria, metodica e preoccupante.
Secondo Symantec, questi attacchi sarebbero una riedizione di Dragonfly, un gruppo di hacker operativo già nel 2011 che, dopo un periodo di quiete proprio a causa della loro esposizione da parte di un precedente report dell’azienda americana, sarebbe poi riemerso negli ultimi due anni, a partire dal 2015, per intensificare le proprie attività nel 2017. Come vedremo, il rapporto non attribuisce il gruppo ad alcun Paese ed è molto attento nello spiegare perché non ci siano prove conclusive al riguardo, anche se il vecchio Dragonfly (chiamato in alternativa anche Energetic Bear) era stato ricondotto da altri ricercatori alla galassia russa.
Come già avvenuto nella precedente campagna di Dragonfly, il gruppo usa diversi vettori di infezione per accedere alle reti delle vittime. Tra questi, l’invio di email malevole; software mascherati da applicazioni legittime che contengono trojan (virus che infettano un computer dando all’attaccante il suo controllo da remoto); e attacchi watering hole (“dell’abbeveratoio”), così detti perché gli attaccanti violano siti frequentati dai dipendenti delle aziende nel mirino inserendo del codice malevolo in grado di sfruttare vulnerabilità del software dei visitatori.
La prima traccia di attività individuata è una email malevola inviata sotto forma di un invito a una festa per il Capodanno del 2015 a vari target del settore energia. Altre mail successive avevano contenuti legati a questa industria e, una volta aperto, l’allegato malevolo “tentava di far filtrare le credenziali di rete della vittima a un server esterno”, scrive il report. Ma c’erano anche file mascherati da aggiornamenti Flash usati per installare backdoor – che permettono l’accesso a un computer compromesso – sulle reti dei target, dopo aver convinto le vittime a scaricare l’update.