Появилась подробная информация о кибератаках на энергокомпании Великобритании

Обнародованы подробности атак кибергруппировки DragonFly, якобы связанной с властями РФ, на энергетические компании Великобритании, имевших место в марте прошлого года. Как утверждают ИБ-эксперты из Cylance, хакеры взломали маршрутизатор Cisco и, используя его, проникли в сети энергокомпаний.

Хакерская группа DragonFly 2.0 (также известна как Energetic Bear и Koala), получила известность после кибератак на энергосети стран и Европы и Северной Америки. Осенью прошлого года Федеральное бюро расследований и Министерство внутренней безопасности США обвинили участников этой группы в атаках на энергетические, авиационные, промышленные предприятия, ядерные объекты и системы водоснабжения.

Эксперты выяснили, что в ходе мартовских атак группировка осуществила взлом главного маршрутизатора Cisco в сети самой крупной вьетнамской компании-производителя нефтедобывающего оборудования для кражи пользовательской учетной информации, которая затем применялась в фишинговых письмах, которые были адресованы компаниям британским энергетическим компаниям.

Пока что неизвестно, как именно был произведен взлом маршрутизатора и каким образом киберпреступники им удалось выйти через вьетнамскую компанию на британские корпорации. Неясно, поставляла ли вьетнамская компания нефтедобывающее оборудование для компаний из Великобритании. Эксперты не обнаружили прямую связь между компаниями.

Эксперты нашли документ-приманку, который был встроен в один из хэшей вредоносной программы, применяемой группировкой. Он предназначался людям, работающим в энергетическом секторе Великобритании.

Когда жертва открывала вредоносный документ, происходило подключение ко взломанному маршрутизатору, который автоматически аутентифицировал пользователя на хакерском сервере. Таким образом маршрутизатор осуществлял сбор всей введенной учетной информацией. Сейчас эксперты продолжают расследовать деятельность группировки.