A infraestrutura crítica dos EUA está sob ataque, alertou no fim da semana passada o CERT US (Computer Emergency Response Team). O alerta foi feito com informações recebidas do FBI e Department of Homeland Security e afirma que o ataque é do tipo APT (Advanced persistent Threat). Ou seja, ele é incessante, visando entidades e organizações governamentais nos setores de energia, energia nuclear, água, aviação e infraestrutura crítica. Para o CERT US, a campanha é de intrusão em vários estágios, e os alvos são as redes pequenas e com baixa segurança. O objetivo, no entanto, acreditam os especialistas do CERT, é obter acesso e mover-se lateralmente para redes maiores e de alto valor no setor de energia. A análise de malware e dos IOCs (indicadores de comprometimento) feita pelo DHS indica que a campanha está em andamento e que os atores da ameaça buscam resultados em uma campanha de longo prazo.
Desde Maio
A campanha atual está em andamento desde Maio deste ano segundo o CERT. Um dos suspeitos de responsabilidade pelo ataque é o grupo Dragonfly, supostamente formado por hackers russos. Em setembro passado a Symantec informou que o grupo conseguiu acesso ao controle do fornecimento de energia elétrica em distribuidoras na Turquia, Suíça e Estados Unidos. O grupo foi descoberto pelos pesquisadores da Symantec em 2014, que estimam sua entrada em operação por volta de 2011.
As atuais atividades foram detalhadas em um relatório confidencial distribuído de forma privada, em Junho, às empresas sob risco de ataques. O documento descreve um conjunto atividades focadas nos setores nuclear, manufatura, energia e infraestrutura crítica. As vítimas iniciais são, segundo o CERT, organizações periféricas, tais como fornecedores e terceirizados confiáveis, mas com redes menos seguras. Elas são utilizadas como pontos de apoio e como e repositórios de malwares para ali capturar as vítimas finais. As TTPs (Procedimentos Táticos e Técnicos) foram:
- reconhecimento com ferramentas open-source
- e-Mails de spear-phishing (de contas legítimas, porém comprometidas)
- ação em domínios de watering-hole (exemplos: contaminação de sites de atualização de software)
- exploração baseada em host (host-based exploitation)
- ataques a infraestrutura de sistemas de controle industrial (ICS) e
- captura permanente de credenciais
