Le groupe de cybercriminels Dragonfly est connu dans le monde de la cybersécurité pour ses activités d’espionnage. Ces cibles sont composées d’entreprises stratégiques dans l’électricité et le gaz en Europe et aux États-Unis. Pour la CISA et d’autres experts en cybersécurité, le groupe bénéficie du soutien du gouvernement russe. Il serait même affilié au FSB, le service de renseignement du pays.
Depuis son apparition autour de 2010, les chercheurs ont utilisé plusieurs appellations pour des campagnes liées au même ensemble d’activités (par exemple Dragonfly et Energetic Bear). Ce groupe de hackers est connu dans le monde de la cybersécurité pour ses attaques ciblées contre des infrastructures industrielles, majoritairement dans le secteur de l’énergie. La CISA et le FBI ont attribué certaines campagnes visant des infrastructures critiques à des acteurs liés à la Russie ; d’autres fournisseurs (dont Symantec) recommandent la prudence et notent que l’attribution reste complexe.
Dragonfly : des cibles d’envergure dès le début
Les recherches indiquent que les activités associées à Dragonfly/Energetic Bear sont observées depuis le début des années 2010 (2010–2011). Dès le départ, le groupe s’attaque à des cibles d’envergure, notamment des entreprises dans l’aviation et la défense nord-américaine. À partir de 2013, il étend ses activités en Europe et se spécialise dans le secteur de l’énergie, d’où l’appellation « Energetic Bear ».
Le groupe de cybercriminels utilise des logiciels personnalisés pour mener ses attaques. Les plus connus d’entre eux sont : Havex, Sysmain ou encore xFrost. Les méthodes utilisées par le groupe sont largement variées.
Le phishing
La campagne de Dragonfly commence par le phishing. Entre 2010 et 2014, des dirigeants et cadres supérieurs des entreprises cibles ont reçu des e-mails contenant des pièces jointes malveillantes. Dès l’ouverture de la pièce, qui est généralement un fichier PDF, un code s’exécute et infecte l’appareil. Les études révèlent que les e-mails proviennent majoritairement d’une même adresse gmail.
L’attaque par point d’eau
L’hameçonnage n’est pas l’unique méthode utilisée par Dragonfly. Symantec révèle qu’ils se sont également servis de l’attaque par point d’eau vers 2013. De son côté, Kaspersky indique que cette activité remonte à bien plus loin et s’est poursuivie jusqu’en 2014.
L’attaque dite « watering-hole » (attaque par point d’eau) consiste à compromettre des sites fréquentés par la cible puis à rediriger vers un exploit kit (ex. HelloEK) ou d’autres charges utiles. Ces kits exploitaient souvent des vulnérabilités de navigateurs (notamment Internet Explorer et plugins associés) pour exécuter le code initial sur la machine victime.
Parmi les sites compromis, on retrouve celui de Longreach Oil & Gas, une entreprise pétrolière qui est connue sous l’appellation PetroMaroc depuis 2014 et celui de Chariot Oil&Gas, une autre société dans le même secteur.
La compromission de la supply chain
Cette forme d’attaque est sans doute la plus sophistiquée et la plus dangereuse en matière de ciblage des systèmes de contrôle industriel (ICS). Le groupe a réussi à modifier les paquets d’installation de logiciels de systèmes légitimes et y intègrent une variante de leur malware Havex.
En somme, ils exploitent une faille chez les fournisseurs de logiciels destinés au secteur industriel pour modifier le paquet d’installation. Dès que l’acheteur télécharge le logiciel, Dragonfly avait accès à son système.
Des chercheurs ont identité au moins 6 suites logicielles compromises par les pirates :
- MESA Imaging, un logiciel de photographie,
- Plusieurs logiciels de MB ConnectLine,
- eWon eGrabit,
- ou encore eWon Talk2M eCatcher.
MB ConnectLine et eWon ont confirmé l’intrusion dans leur système. De son côté, MESA n’a jamais clarifié l’affaire, l’entreprise n’existe plus depuis.
Havex : le but ultime de ces attaques
De nombreux rapports indiquent que Havex a été largement utilisé pour l’énumération et la collecte d’informations dans des environnements industriels ; il s’agissait d’un des outils clés, mais les finalités variaient (reconnaissance, collecte d’identifiants, préparation d’actions ultérieures).
Le malware fait souvent partie d’autres objets, sous la forme d’une DLL. Dès qu’il est lancé à travers un programme de confiance, Havex établit une connexion avec ses communications C2. Les opérateurs décident ensuite d’ajouter les fonctionnalités et les modules qu’ils souhaitent.
Le trojan Karagany
Ce trojan n’était pas un outil personnalisé, il était même disponible sur le darkweb. D’après Symantec, Dragonfly a récupéré le code source du trojan et l’a modifié pour son usage personnel. Ce malware est capable d’exécuter des plugins comme la capture d’écran et le vol de mots de passe. Il peut également exécuter des fichiers sur un appareil infecté.
Le cheval de Troie Karagany a été observé dans certaines campagnes ; Symantec signale qu’environ 95 % des infections étudiées impliquaient Havex, tandis que Karagany était présent sur une part nettement plus réduite (≈ 5 %).
Dragonfly : une opération parrainée par l’Etat russe ?
Plusieurs éléments ont conduit des agences et chercheurs à estimer que certaines campagnes pourraient relever d’acteurs soutenus par un État (longévité, cibles stratégiques, sophistication) :
- Des campagnes qui s’étendent sur plusieurs années,
- La nature des cibles : des entreprises stratégiques,
- L’utilisation d’outils sophistiqués et personnalisés.
Lorsque le groupe a commencé à s’attaquer aux entreprises européennes, cela a mis les chercheurs sur la piste du gouvernement russe. En effet, cet intérêt pour les organisations énergétiques pourrait s’intégrer dans la politique globale du service de renseignement de la Russie.
D’autres chercheurs se sont intéressés aux horodatages des attaques pour identifier la nationalité des attaquants. Leur analyse révèle que les attaques sont menées principalement entre le lundi et vendredi, de 9 h à 18 h. Cet horaire équivaut au fuseau horaire UTC +4, soit celui des pays en Europe de l’Est.
De même, une analyse des cibles révèle un grand intérêt pour les États-Unis et les pays de l’Europe de l’Ouest. Ainsi, 24 % des victimes sont américaines. En Europe, l’Espagne semble être la cible privilégiée avec 27 % des attaques totales. Viennent ensuite l’Italie, la France et l’Allemagne.
En 2018, une analyse du malware Karagany révèle qu’il présente des similitudes avec celui d’un autre groupe, TeamSpy ou Iron Lyric. Ce groupe sévissait entre 2012 et 2013. Pourtant, la CTU dévoile qu’Iron Lyric était exploité par le FSB.
De son côté, le centre national de cybersécurité, une agence britannique, Symantec et une autre agence américaine ont établi le lien entre Dragonfly et une autre campagne Castle. Cette campagne visait à récolter les identités et les mots de passe de plusieurs utilisateurs pour permettre aux attaquants de s’introduire dans l’environnement de la cible.
Une analyse révèle que le malware utilisé, Heriplor et Havex présentaient les mêmes fichiers et serveurs de communication et de contrôle (C2). Face à ces similitudes, leur rapport conclut une intervention du gouvernement russe.
De son côté, Symantec se montre plus prudent. Il confirme que les chaînes de codes sont bien écrites en russe, mais certaines sont dans d’autres langues comme le français. Le groupe pourrait donc utiliser ces langues en guise de diversion et masquer son identité.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
