Le groupe de cybercriminels Dragonfly est connu dans le monde de la cybersécurité pour ses activités d’espionnage. Ces cibles sont composées d’entreprises stratégiques dans l’électricité et le gaz en Europe et aux États-Unis. Pour la CISA et d’autres experts en cybersécurité, le groupe bénéficie du soutien du gouvernement russe. Il serait même affilié au FSB, le service de renseignement du pays.
Depuis son apparition en 2010, les experts de la cybersécurité lui ont attribué bien des noms, allant d’Iron Liberty à Energetic Bear, ou encore de TG – 4192 à Dragonfly. Ce groupe de hackers est connu dans le monde de la cybersécurité pour ses attaques ciblées contre des infrastructures industrielles, majoritairement dans le secteur de l’énergie. Si la CISA et le FBI ont confirmé une affiliation du groupe à l’Etat russe, l’entreprise Symantec se montre plus prudente à ce sujet.
Dragonfly : des cibles d’envergure dès le début
Les recherches menées par des experts de la cybersécurité ont démontré que le groupe Dragonfly existe depuis au moins 2011. Dès le départ, le groupe s’attaque à des cibles d’envergure, notamment des entreprises dans l’aviation et la défense nord-américaine. À partir de 2013, il étend ses activités en Europe et se spécialise dans le secteur de l’énergie, d’où l’appellation « Energetic Bear ».
Le groupe de cybercriminels utilise des logiciels personnalisés pour mener ses attaques. Les plus connus d’entre eux sont : Havex, Sysmain ou encore xFrost. Les méthodes utilisées par le groupe sont largement variées.
Le phishing
La campagne de Dragonfly commence par le phishing. Entre 2010 et 2014, des dirigeants et cadres supérieurs des entreprises cibles ont reçu des e-mails contenant des pièces jointes malveillantes. Dès l’ouverture de la pièce, qui est généralement un fichier PDF, un code s’exécute et infecte l’appareil. Les études révèlent que les e-mails proviennent majoritairement d’une même adresse gmail.
L’attaque par point d’eau
L’hameçonnage n’est pas l’unique méthode utilisée par Dragonfly. Symantec révèle qu’ils se sont également servis de l’attaque par point d’eau vers 2013. De son côté, Kaspersky indique que cette activité remonte à bien plus loin et s’est poursuivie jusqu’en 2014.
L’attaque par point d’eau consiste à compromettre plusieurs sites web légitimes dans le secteur de la finance, de l’énergie et même de la santé. Les pirates insèrent ensuite une redirection vers autre site compromis qui abrite cette fois un kit d’exploitation comme LightsOut et « HelloEK ». Il cible surtout des navigateurs comme Internet Explorer, permettant au groupe d’exécuter le code initial dans l’appareil de la victime.
Parmi les sites compromis, on retrouve celui de Longreach Oil & Gas, une entreprise pétrolière qui est connue sous l’appellation PetroMaroc depuis 2014 et celui de Chariot Oil&Gas, une autre société dans le même secteur.
La compromission de la supply chain
Cette forme d’attaque est sans doute la plus sophistiquée et la plus dangereuse en matière de ciblage des systèmes de contrôle industriel (ICS). Le groupe a réussi à modifier les paquets d’installation de logiciels de systèmes légitimes et y intègrent une variante de leur malware Havex.
En somme, ils exploitent une faille chez les fournisseurs de logiciels destinés au secteur industriel pour modifier le paquet d’installation. Dès que l’acheteur télécharge le logiciel, Dragonfly avait accès à son système.
Des chercheurs ont identité au moins 6 suites logicielles compromises par les pirates :
- MESA Imaging, un logiciel de photographie,
- Plusieurs logiciels de MB ConnectLine,
- eWon eGrabit,
- ou encore eWon Talk2M eCatcher.
MB ConnectLine et eWon ont confirmé l’intrusion dans leur système. De son côté, MESA n’a jamais clarifié l’affaire, l’entreprise n’existe plus depuis.
Havex : le but ultime de ces attaques
Tous les rapports convergent pour dire que l’objectif des multiples attaques menées par Dragonfly était de livrer le malware Havex. Néanmoins, Havex ne constitue qu’un simple outil pour servir d’autres finalités en fonction de la cible et des intentions du groupe.
Le malware fait souvent partie d’autres objets, sous la forme d’une DLL. Dès qu’il est lancé à travers un programme de confiance, Havex établit une connexion avec ses communications C2. Les opérateurs décident ensuite d’ajouter les fonctionnalités et les modules qu’ils souhaitent.
Le trojan Karagany
Ce trojan n’était pas un outil personnalisé, il était même disponible sur le darkweb. D’après Symantec, Dragonfly a récupéré le code source du trojan et l’a modifié pour son usage personnel. Ce malware est capable d’exécuter des plugins comme la capture d’écran et le vol de mots de passe. Il peut également exécuter des fichiers sur un appareil infecté.
D’après Symantec, 95 % des ordinateurs infectés l’ont été par Havex, Karagany n’était présent que sur 5%5 % d’entre eux.
Dragonfly : une opération parrainée par l’Etat russe ?
Plusieurs indices indiquent que Dragonfly pourraient bien être parrainé ou dirigé par un Etat :
- Des campagnes qui s’étendent sur plusieurs années,
- La nature des cibles : des entreprises stratégiques,
- L’utilisation d’outils sophistiqués et personnalisés.
Lorsque le groupe a commencé à s’attaquer aux entreprises européennes, cela a mis les chercheurs sur la piste du gouvernement russe. En effet, cet intérêt pour les organisations énergétiques pourrait s’intégrer dans la politique globale du service de renseignement de la Russie.
D’autres chercheurs se sont intéressés aux horodatages des attaques pour identifier la nationalité des attaquants. Leur analyse révèle que les attaques sont menées principalement entre le lundi et vendredi, de 9 h à 18 h. Cet horaire équivaut au fuseau horaire UTC +4, soit celui des pays en Europe de l’Est.
De même, une analyse des cibles révèle un grand intérêt pour les États-Unis et les pays de l’Europe de l’Ouest. Ainsi, 24 % des victimes sont américaines. En Europe, l’Espagne semble être la cible privilégiée avec 27 % des attaques totales. Viennent ensuite l’Italie, la France et l’Allemagne.
En 2018, une analyse du malware Karagany révèle qu’il présente des similitudes avec celui d’un autre groupe, TeamSpy ou Iron Lyric. Ce groupe sévissait entre 2012 et 2013. Pourtant, la CTU dévoile qu’Iron Lyric était exploité par le FSB.
De son côté, le centre national de cybersécurité, une agence britannique, Symantec et une autre agence américaine ont établi le lien entre Dragonfly et une autre campagne Castle. Cette campagne visait à récolter les identités et les mots de passe de plusieurs utilisateurs pour permettre aux attaquants de s’introduire dans l’environnement de la cible.
Une analyse révèle que le malware utilisé, Heriplor et Havex présentaient les mêmes fichiers et serveurs de communication et de contrôle (C2). Face à ces similitudes, leur rapport conclut une intervention du gouvernement russe.
De son côté, Symantec se montre plus prudent. Il confirme que les chaînes de codes sont bien écrites en russe, mais certaines sont dans d’autres langues comme le français. Le groupe pourrait donc utiliser ces langues en guise de diversion et masquer son identité.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
