Symantec: hackers proberen energievoorziening te saboteren

Behalve dat de hackersgroep zich op steeds meer landen richten, breiden ze ook hun arsenaal uit. Aanvankelijk beperkten ze zich tot het versturen van phishing-mails. Daarna begonnen ze met het compromitteren van websites waarvan het waarschijnlijk is dat werknemers van energiebedrijven die bezoeken. Doel van die operatie is om de werknemers via een binnengesmokkelde link naar een malafide website te leiden. Sinds enge tijd doen de hackers ook pogingen om de software van leveranciers waarvan energiebedrijven Industrial Control Systems betrekken, te besmetten. Volgens Symantec is dat in drie gevallen ook gelukt.

Steeds geavanceerdere inbraakpogingen

Doel van die activiteiten is software binnen te smokkelen bij de energiebedrijven waarmee op afstand de controle over systemen kan worden overgenomen. Het belangrijkste tool is Backdoor.Oldrea, dat ook bekend staat als Havex en Energetic Bear RAT. Dat fungeert als achterdeurtje in de computer van het slachtoffer. Het sluist allerhande informatie door naar de systemen van de hackers, en maakt het mogelijk nieuwe malware binnen te smokkelen. Dit tool is door de hackers zelf geschreven. Daarnaast maken ze gebruik van een op de markt beschikbaar Trojaans paard, de Karagany Trojan, dat ongeveer dezelfde functies vervult als Backdoor Oldrea.

Wie er precies achter de hackpogingen zit, is onduidelijk. Wel constateert Symantec dat de malware tijdens kantooruren zoals die gelden in de Oost-Europese tijdzone. In combinatie met de hoge kwaliteit van de malware denkt Symantec dat er een Oost-Europese overheidsorganisatie schuilgaat achter Dragonfly.