Стали известны подробности кибератак на британский энергетический сектор

image

Теги: Dragonfly, хакеры, взлом, маршрутизатор

Группировка DragonFly взломала маршрутизатор Cisco в сети вьетнамского производителя нефтедобывающего оборудования.

Стали известны подробности атак хакерской группировки DragonFly (предположительно связанной с российским правительством) на британские энергетические компании в марте 2017 года. По словам исследователей кибербезопасности из компании Cylance, группировке удалось скомпрометировать маршрутизатор Cisco и с его помощью проникнуть в сети компаний.

Хакерская группировка DragonFly 2.0, также фигурирующая под названиями Energetic Bear и Koala, стала известной после атак на энергетический сектор стран Европы и Северной Америки. Осенью 2017 года Министерство внутренней безопасности США и Федеральное бюро расследований обвинили группировку в кибератаках на ряд ядерных, энергетических, авиационных, промышленных предприятий, а также системы водоснабжения.

Как выяснили исследователи, в мартовских атаках группировка взломала главный маршрутизатор Cisco в сети крупнейшего вьетнамского производителя нефтедобывающего оборудования для хищения учетных данных пользователей, которые затем использовались в фишинговых письмах, адресованных компаниям энергетического сектора Великобритании.

В настоящее время неясно, как именно был взломан маршрутизатор, и каким образом злоумышленникам удалось выйти на британских энергетиков через вьетнамскую компанию. Неизвестно, был ли производитель нефтедобывающего оборудования поставщиком для объектов из Великобритании. В ходе исследования специалистам не удалось обнаружить прямой связи между компаниями.

«Мы обнаружили документ-приманку, встроенный в один из хэшей вредоносного ПО, используемого группировкой. На данный момент мы выяснили, что документы предназначались людям, задействованным в энергетическом секторе Великобритании», - отметили специалисты.

При открытии вредоносного документа жертвы подключались к скомпрометированному маршрутизатору, который автоматически аутентифицировал их на SMB-сервере злоумышленников. Таким образом маршрутизатор собирал все введенные учетные данные.

В настоящее время исследователи ведут дальнейшее расследование деятельности группировки.

Напомним, ранее правительственные ведомства США официально обвинили «русских хакеров» в атаке на критическую инфраструктуру страны. Согласно опубликованному Министерством внутренней безопасности США и Федеральным бюро расследований отчету, киберпреступники атакуют американские электростанции и другие объекты критической инфраструктуры по меньшей мере с марта 2016 года.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.