Symantec a publié un rapport portant sur les activités du groupe cybercriminel connu sous le nom de DragonFly. Selon le spécialiste de la sécurité, il aurait infiltré plusieurs systèmes dans des sociétés opérant sur le secteur de l’énergie aux États-Unis et en Europe.

-         Symantec a publié récemment un avertissement concernant une attaque en cours visant les entreprises du secteur de l’énergie.

Selon Symantec, cette campagne serait déjà bien avancée, et les cybercriminels seraient déjà parvenus à infiltrer plusieurs acteurs du secteur de l’énergie aux États unis et en Europe.

« Parmi les victimes du groupe DragonFly, on retrouve des opérateurs de réseaux électriques, plusieurs fournisseurs d’énergies électriques majeurs, des opérateurs de pipelines ainsi que des équipementiers et fournisseurs d’appareils destinés aux industriels » annonce l'éditeur de sécurité.

Symantec avait déjà alerté au sujet de ce groupe en 2014.

Dragonfly avait par la suite disparu des écrans, mais Symantec explique avoir découvert de nouvelles traces de son activité depuis 2015 et en 2017.

La nouvelle campagne baptisée Dragonfly 2.0, peu originale, semble par contre plus agressive que la campagne initiale détectée en 2013 :

« La campagne Dragonfly originelle semble s’apparenter à une opération de reconnaissance de la part du groupe, qui tentait alors de prendre le contrôle sur des systèmes critiques.

La campagne Dragonfly 2.0 montre que le groupe cherche maintenant à passer à une nouvelle phase visant cette fois à récupérer l’accès à des systèmes opérationnels, qui pourraient être utilisé pour des attaques futures » souligne Symantec.

Selon la société américaine de cybersécurité, cette campagne n’est pas nouvelle et les premiers agissements du groupe à l’origine de l’attaque remontent à 2011.

A l’époque, le groupe, baptisé Dragon Fly ou, selon les sociétés qui l’identifient, Energetic Bear, s’attaquait  principalement à des constructeurs dans l’aéronautique militaire en Amérique du Nord.

-         A partir de 2013, le groupe se tourne vers le secteur de l’énergie en Europe et aux États unis.

DragonFly a recours à plusieurs techniques pour s’attaquer à ces secteurs : d’abord, on retrouve une traditionnelle campagne de phishing ciblée visant à compromettre les comptes et les identifiants d’employés clefs des sociétés visées.

Une première campagne de ce type a été détectée par Symantec à l’encontre de 7 entreprises.

Par la suite, le groupe a eu recours à la technique dite du « point d’eau », qui consiste à pirater un site fréquenté par les employés de la société cible afin de diffuser un exploit kit capable de tirer parti de vulnérabilités dans le navigateur.

Enfin, Symantec a également repéré plusieurs tentatives d’infection via la compromission de logiciels.

Deux principaux types de malware pour ces opérations :

Trojan.heriplor est un malware de type RAT  (1) qui n’avait jamais été observé auparavant sur le marché, ce qui laisse penser qu’il s’agit d’un outil développé par le groupe.

Par le passé, ce groupe s’était déjà illustré en employant ce type de malware « sur mesure » avec un logiciel baptisé Oldrea.

Le second type de malware utilisé par le groupe (Karagany) propose des fonctionnalités relativement similaires à Oldrea. Il s’agit néanmoins d’un malware connu, qui était vendu sur les forums cybercriminels et dont le code source a été publié en 2010.

Symantec pense que DragonFly a donc développé une version modifiée de ce malware à partir du code source publié.

Outre ces outils, le groupe utiliserait d’autres logiciels malveillants tels que des exploits kits ou encore des outils d’administration traditionnels.

Symantec précise n’avoir pas observé l’utilisation de failles 0day lors des différentes campagnes.

Quelle est l’origine de cette campagne ?

Selon Ars Technica, des textes en français et en russe ont été retrouvés lors des investigations de Symantec sur les outils de DragonFly.

L’étude des heures de compilation des malwares indique par ailleurs que les membres du groupe DragonFly sont actifs durant les jours de la semaine sur le fuseau horaire correspondant à l’Europe de l’Est (UTC+4).

Ce qui laisserait penser qu’il ne s’agit pas ici d’un groupe de cybercriminels classiques, mais bien d’un groupe soutenu par un état ou un service de renseignement et qui travaille à des missions d’espionnage ou de sabotage.

L’exemple récent de l’Ukraine a montré que le piratage de sites industriels et d’acteurs liés au réseau de l’énergie pouvait devenir un enjeu crucial dans le conflit numérique que se livrent les États.

-         A deux reprises en 2015 et 2016, le réseau ukrainien de distribution d’électricité a été en partie rendu inutilisable en raison d’attaques informatiques.

Le rapport de Symantec sur DragonFly montre ainsi  la difficulté à mettre en place les recommandations visant à sécuriser ses infrastructures.

(1) RAT (Remote Administration Tool - Outil d'administration à distance)

Il s’agit d’un programme permettant la prise de contrôle totale, à distance, d'un ordinateur depuis un autre ordinateur. Il est constitué de deux parties : le "client" et le "serveur". Le "client" est installé sur l'ordinateur de celui qui prend le contrôle et le "serveur" est installé sur l'ordinateur contrôlé.

Grace à l'usage d'un RAT, une personne distante se retrouve dans une situation totalement identique à ce qu'elle serait si elle était devant la machine contrôlée : son clavier devient le clavier de la machine distante, son écran devient l'écran de la machine distante etc... sans aucune limitation ni contrainte. Les seules limitations sont celles du profil du compte sous lequel est lancée la partie "serveur"

La personne distante peut être à des centaines ou des milliers de kilomètres de la machine contrôlée. On conçoit donc que les RAT puissent constituer des agressions de la plus extrême gravité.