Orosznak tűnő hackerek screenshotolták jópár amerikai energetikai létesítmény irányítópultjának kezelőpaneljét. A Symantec jelentése szerint a Dragonflyként ismert csoport egyrészt tanulmányozza az energetikai létesítmények működését, másrészt hozzáférést is igyekszik szerezni ezek kezelőszerveihez. A csoportnak elvben "már megvannak a képességei a szabotázsra, vagy a rendszer feletti irányítás átvételére".

"Van különbség aközött, ha csak egy lépésre vagy attól, hogy képes legyél a szabotázsra, vagy már ténylegesen is képes vagy rá. Ha valóban tekergetheted az áramtermelés kapcsolóit" - mondta Eric Chien, a cég egyik biztonsági elemzője a Wirednak. Nem képletesen értette. A kezelőpanelekről készített screenshotok, tűnjék ez bármilyen banálisnak is, mindkét célt szolgálják. Ukrajnában 2015 decemberében a helyi elektromos szolgáltató mérnökei tehetetlenül nézték, ahogy a gépük feletti távoli irányítást megszerző hackerek mozgatta egérmutató végigfut a monitoron, egyesével kapcsolgatva a kapcsolókat, több ezer fogyasztónál lekapcsolva a villanyt.

Az ilyen támadások elkövetőinek azonosítása, az attribúció összetett és nehézkés. A 2015-16-os ukrajnai támadásokat egyértelműen Oroszországhoz, az orosz titkosszolgálatokhoz köthető csoport, a Sandworm hajtotta végre. A most leleplezett akciót a Symantec elemzői szerint egy 2011-14 között már aktív csoport, a Dragonfly követhette el, ezért is nevezik a mostani behatolást Dragonfly 2.0-nak. A két csoport közötti kapcsolatra utalnak az azonos módszerek és néhány egyező eszköz.

A támadók, ahogy 2011-14 között, úgy most is a szokásos módszerekkel, phishing-támadásokkal, csali weboldalakkal, legitim alkalmazásokba ágyazott kémszoftverekkel szereztek hozzáférést a hálózatokhoz. Egyik eszközük például az volt, hogy az áldozatot egy vonzó videóval vették rá egy flash-frissítésnek álcázott backdoor letöltésére. A támadók több backdoort is használtak, ezek közül a Heriplornak elnevezett trójait az eredeti Dragonfly-támadáshoz is használták, a Kargany.B nevű pedig az akkor használt Kargany új verziójának tűnik.

A Dragonfly-csoportot egy másik biztonsági cég, a Crowdstrike egyértelműen orosz titkosszolgálati szereplőként azonosította, és az amerikai belbiztonsági minisztérium és az FBI közös, az amerikai választások befolyásolását célzó orosz kibertevékenységről szóló 2016. december 29-i jelentésében is az orosz katonai és polgári hírszerzéshez köthető csoportként tüntették fel.

A Symantec ennél óvatosabb, már csak azért is, mert szerintük a támadók most ügyesebben álcázták azonosságukat. A felhasznált kódok közt ugyan találtak orosz és francia nyelvűt is, ami szerintük arra utal, hogy legalább az egyik nyelv használata elterelés lehet. A támadók most egyáltalán nem használtak zero dayeket, vagyis korábban még nem észlelt sebezhetőségeket - az ilyenek használata költségességük miatt erős utalás szokott lenni a támadók nemzetállami hátterére. A Dragonfly inkább nyilvánosan is hozzáférhető eszközökre hagyatkozott, például a Githubon 2016-ban publikált Phisheryre - bár az is igaz, hogy hogy a már említett Heriplort a mostani támadáson kívül kizárólag a 2011-14 közti kampányban használták.

A két támadás közti kapcsolat logikusnak tűnik. A Symantec elemzése szerint a szabotázsakciókat - és az energetikai infrastruktúra elleni támadás ilyen - általában hírszerző akciók előzik meg. Az első Dragonfly lehetett az információszerző támadás, a Dragonfly 2.0-val viszont a legsikeresebb behatolásaikkal több amerikai és egy török energetikai létesítmény irányítópultjához is hozzáfértek. "Pont ezt kell tenned, ha szabotázsra készülsz. Ilyen screenshotokat készítesz, hogy tanulmányozhasd, pontosan melyik kapcsolót is kell elforgatnod" - mondta Chien.

A Symantec konklúziója szerint "az nyilvánvaló", hogy a Dragonfly nagy tapasztalatú csoport, mely képes "információk ellopására" és akár egyszerre több szervezet kulcsfontosságú rendszereibe is be tud hatolni. "Hogy mire készül a megszerzett információkkal, az még nem világos, de a képességei megvannak ahhoz, hogy akár a fizikai valóságban is megzavarha a célzott szervezetek működését, ha éppen ez a szándéka" - írták.

Az amerikai belbiztonsági minisztérium szóvivője, Scott McConnel a Wired megkeresésére csak annyit válaszolt, hogy tudomásuk van a Symantec jelentéséről és tanulmányozzák is azt, de "jelen pillanatban semmi sem utal arra, hogy bármi is fenyegetné a közbiztonságot".