ROMA – Nome in codice Dragonfly: è una campagna di spionaggio senza precedenti ai danni di compagnie e industrie legate al settore energetico, negli Stati Uniti e in Europa. Una campagna scoperta dai laboratori Symantec, una delle aziende leader nella sicurezza informatica.
L’attacco si è diviso in due fasi: dal 2011 l’obiettivo iniziale era un insieme di compagnie legate ad aviazione e sistemi di difesa americani e canadesi, ma poi, a inizio 2013, il piano di spionaggio si è spostato anche nel Vecchio continente, includendo i sistemi di controllo industriale.
“Le conseguenze di questa campagna sono di due tipi”, racconta Antonio Forzieri, esperto di sicurezza di Symantec Italia al Corriere della Sera. “Nella migliore delle ipotesi, si tratta “solo” di spionaggio industriale, quindi qualcuno ha rubato dei dati dagli obiettivi colpiti e ne disporrà a suo piacimento, per esempio rivendendoli ad altri”. E continua: “Ma nulla vieta di pensare che chi ha sferrato l’attacco possa giocare un ruolo più attivo, arrivando, come caso estremo, a spegnere interi sistemi energetici”.
Scrive Riccardo Meggiato del Corriere della Sera:
Il modus operandi utilizzato dal gruppo Dragonfly, anche conosciuto come Energetic Bear, si basa su tre tecniche diverse, anche se si tratta di vecchie conoscenze del mondo informatico. Dal momento in cui è stata scoperta la campagna, i laboratori di Symantec hanno dapprima rilevato un’estesa operazione di spam, con l’invio di e-mail malevole a diversi obiettivi, in genere manager delle compagnie prese di mira. Il soggetto delle e-mail riguardava questioni di normale amministrazione, come problemi ad account di posta elettronica piuttosto che nelle consegne di materiali. Le e-mail contenevano degli allegati, sotto forma di documenti PDF. Una volta aperti, attivavano un malware, cioè un software nocivo, e davano il via all’attacco. Un particolare curioso è che tutte le e-mail sono state inviate da un indirizzo Gmail, che porta a chiedersi se Google possa essere coinvolta nella caccia ai responsabili. «Al momento non ne so nulla», risponde Forzieri. «Ma di sicuro i ragazzi dei laboratori avranno chiesto la collaborazione di Mountain View».
La seconda tecnica, continua Meggiato “è il così detto attacco watering holes. Subito dopo la campagna di spam, avvenuta tra il febbraio e il giugno del 2013, Dragonfly ha compromesso alcuni siti del settore energetico, inserendo tra le pagine delle istruzioni che deviavano i visitatori verso altri siti, identici agli originali ma contenenti due malware. Nel 95% dei casi si trattava di Backdoor.Oldrea, un software malevolo sviluppato proprio da Dragonfly, a dimostrazione della competenza e delle risorse del gruppo. Si tratta, nella fattispecie, di un RAT (Remote Administration Tool), cioè un programma che, una volta attivato in un dato computer, lo mette alla mercé del criminale di turno. Per spiare dati, ma volendo anche per installare altri software malevoli e portare avanti dei veri e proprio sabotaggi. Nel restante 5% dei casi, al posto di Oldrea è stato rilevato l’utilizzo di Trojan.Karagany. Più comune, potrebbe essere stato acquisito e personalizzato ad hoc da Dragonfly, per svolgere i medesimi compiti di Oldrea”.La terza tecnica, infine, “consisteva nel rendere malevoli dei software innocui. Pensate a degli aggiornamenti (update) di programmi di uso comune, o programmi per la compressione delle immagini. Dragonfly ha modificato questi software, inserendo al loro interno i malware, mettendoli a disposizione come download nei siti colpiti, e facendoli dunque passare per programmi assolutamente genuini”.