Diğer Adlar:
· ATK6
· CROUCHING YETI
· DYMALLOY
· ENERGETIC BEAR
· GROUP 24
· HAVEX
· KOALA TEAM
· IRON LIBERTY
· TG-4192
Hedef Aldıkları Sektörler: Havacılık, Savunma, Enerji
Motivasyonlar ve Hedefler:
· Siber Espiyonaj
Dragonfly, en az 2010'dan beri aktif olan bir siber casusluk grubudur. Başlangıçta savunma ve havacılık şirketlerini hedeflediler, ancak 2013'ün başlarında enerji sektörüne odaklandılar. Dragonfly'ın faaliyetleri üç döneme ayrılabilir:
2010-2013, büyük spam kampanyaları kullanan faaliyetlerinin başlangıcı
2013-2014, spear-phishing kullanarak enerji sektörünü hedeflemeye başladılar
2015-2019, bir aradan sonra saldırılarının yeniden başlaması.
Dragonfly Grup kampanyalarının karmaşık ve çalkantılı bir uluslararası bağlamda gerçekleştiği unutulmamalıdır. 2000-2010 yılları, Avrupa Birliği'nin gaz tedarik kaynaklarıyla ilgili alternatif arayışlarının hızlanmasına işaret ediyor. Birlik, ithal edilen Rus doğal gazına olan bağımlılıktan dolayı endişeli.
Eurostat'a göre 2010 ve 2016 yılları arasında, AB Üye Devletleri dünyanın geri kalanında ortalama% 53,44'lük bir enerji bağımlılık oranına sahipti (ülkeler arasında büyük farklılıklar var). Tüketim ihtiyaçlarını tek başına karşılayamama stratejik olarak rahatsızlık verici, tam da bu noktada Rusya 2010'dan beri ithal edilen doğal gazın üçte birinden fazlasını sağlıyor. Bu nedenle 2009 yılında, Rus Güney Akımı projesinin doğrudan rakibi olan Nabucco alternatif gaz boru hattını canlandırarak tedarik kaynaklarının çeşitlendirilmesine karar verildi. Bu rekabet, Rusya'ya Avrupa Birliği'nin enerji tutuşundan kurtulmaya çalıştığını gösterdi. Rusya, Azerbaycan'ı Güney Akım'a ve Türkmenistan'ı Çin'e dönmeye teşvik ederek projenin tedarik kaynaklarını boşaltmayı başardığı için Nabucco'nun tükenmesiyle gerilim sona erdi (bu iki ülke projenin ana tedarik kaynağıydı).
2013 yılının sonunda AB ile Ukrayna arasında bir Ortaklık Anlaşması imzalanmak üzeredir. Sonuç olarak Rusya, Kasım 2013'te projeyi terk etme kararı alan Ukrayna Devlet Başkanı Viktor Yanukoviç'e baskı yapıyor, Euromaïdan gösterilerini ve Ukrayna krizini tetikliyor. 22 Şubat 2014'te Ukrayna Cumhurbaşkanı görevden alınır ve yerine Oleksandr Tourtchynov getirilir. Ukrayna'nın kriz bağlamındaki siyasi rota değişikliği, Rusya'yı 1 Nisan 2014'te ülke için gaz fiyatını% 44 artırarak baskı stratejisini değiştirmeye sevk eder (2013'te tüketiminin yarısını Rusya'dan ithal ediyor). Üç gün sonra, toplamda% 80'lik bir artış için yeni bir artışa karar verilir. Buna cevaben Şubat ve Mart 2014 arasındaki Kırım savaşından sonra, Avrupa Birliği ve Amerika Birleşik Devletleri Rusya'ya ekonomik yaptırımlar uygular. Bunlar, Avrupa enerji talebindeki düşüş, İran ile gaz sektöründe rekabet ve hidrokarbon fiyatlarındaki küresel düşüşlerdir. Tüm bu faktörler, 2015 (-% 2,8) ile 2016 (-% 0,2) arasında Rusya faaliyetinde bir daralmaya neden oluyor.
Dragonfly'ın faaliyetlerinin kapsadığı tüm dönem boyunca, Rusya'nın yıllık büyüme oranı% 0'ın biraz üzerinde durdu. Grubun söz konusu dönem boyunca çeşitli faaliyet aşamaları, hedeflerin seçimi ve çalışma şekli, Rus Devleti ile bir çıkarlar uyumu olduğunu göstermektedir. DragonFly yalnızca gaz sektörünü hedeflemediyse, enerji sektöründeki casusluk bu yakınlaşmayı kanıtlayabilir niteliktedir.
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler | Diğer Yazılımlar |
CrackMapExec Dorshel Goodor IKLG(Keylogger) Karagany Lightsout exploit kit Listrix MCMD Oldrea ScreenUtil |
| Angry IP Scanner Inveigh Mimikatz Phishery PsExec |
Hedef Aldığı Ülkeler: Türkiye, Kanada, Fransa, Almanya, Yunanistan, İtalya, Norveç, Polonya, Sırbistan, İspanya, İngiltere, ABD
Kampanyalar
ABD ve Kanada’ya karşı ilk kampanya: Dragonfly, 2013 yılında ABD ve Avrupa enerji sektörü hedefine geçmeden önce, başlangıçta ABD ve Kanada savunma ve havacılık şirketlerini hedefliyordu.
Hedef Değişimi – Enerji sektörüne yönelik saldırılar: 2013 yılından bu yana enerji şebekesi operatörlerini, endüstriyel kontrol sistemleriyle (ICS) ilgili şirketleri, büyük elektrik üretim firmalarını, petrol boru hattı operatörlerini ve enerji endüstrisi endüstriyel ekipman sağlayıcılarını ve nükleer endüstrileri hedeflemektedir. Dragonfly, Mart 2014'te Havex truva atıyla ICS ekipman tedarikçilerini hedefleyerek enerji tedarik zincirini hedeflemeye başladı.
Aralık 2015 – 2018: CASTLE kampanyası: 2014-2015 sessiz döneminin ardından grup, Symantec'in ABD, Türkiye ve İsviçre'de enerji sektörünü hedefleyen Dragonfly 2.0 adını verdiği projede yeniden ortaya çıktı. Aralık 2015'te Dell Secureworks tarafından "CASTLE campaign" adlı bir kampanya ile yeniden ortaya çıktılar. Grup, hedeflenen organizasyonlara virüs bulaştırmak için başlangıçta spam e-posta kampanyaları kullandı.
Taktik ve Teknikler (MITRE ATT&CK Framework)
Initial Access
T1078 - Valid Accounts
T1133 - External Remote Services
T1189 - Drive-by Compromise
T1566.002 – Phishing: Spearphishing Link
T1566.001 – Phishing: Spearphishing Attachment
Execution
T1053.005 – Scheduled Task/Job: Scheduled Task
T1059 - Command and Scripting Interpreter
T1059.001 - Command and Scripting Interpreter: PowerShell
T1204 - User Execution
Persistence
T1547.009 - Boot or Logon Autostart Execution: Shortcut Modification
T1053.005 – Scheduled Task/Job: Scheduled Task
T1060 - Registry Run Keys / Startup Folder
T1078 - Valid Accounts
T1098 - Account Manipulation
T1505.003 - Server Software Component: Web Shell
T1133 - External Remote Services
T1136 - Create Account
Privilege Escalation
T1053.005 – Scheduled Task/Job: Scheduled Task
T1078 - Valid Accounts
T1505.003 - Server Software Component: Web Shell
Defense Evasion
T1036 - Masquerading
T1078 - Valid Accounts
T1089 - Disabling Security Tools
T1070.004 - Indicator Removal on Host: File Deletion
T1112 - Modify Registry
T1221 - Template Injection
Credential Access
T1003 – OS Credential Dumping
T1098 - Account Manipulation
T1110 - Brute Force
T1187 - Forced Authentication
Discovery
T1012 - Query Registry
T1016 - System Network Configuration Discovery
T1018 - Remote System Discovery
T1033 - System Owner/User Discovery
T1069 - Permission Groups Discovery
T1083 - File and Directory Discovery
T1087 - Account Discovery
T1135 - Network Share Discovery
Lateral Movement
T1021.001 – Remote Services: Remote Desktop Protocol
T1544 - Remote File Copy
Collection
T1005 - Data from Local System
T1074 - Data Staged
T1113 - Screen Capture
T1114 - Email Collection
Command and Control
T1043 - Commonly Used Port
T1071 - Application Layer Protocol
T1544 - Remote File Copy
Exfiltration
T1560 - Archive Collected Data
0 Yorumlar