A empresa de segurança Symantec divulgou detalhes de uma campanha de invasões cibernéticas realizadas por um grupo que a companhia chama de “Dragonfly”. Segundo a empresa, os invasores comprometeram redes de computadores de empresas na energia nos Estados Unidos, na Suíça e na Turquia, chegando a, possivelmente, ter capacidade para sabotar e desligar a rede elétrica para causar apagões.
De acordo com os especialistas da Symantec, os invasores programaram seus códigos de ataque para tirar capturas de tela (“screenshots”) dos sistemas alvo. Isso poderia ajudar os integrantes do Dragonfly a identificar sistemas que estariam envolvido em operações de controle da rede elétrica para, então, sabotar esses sistemas. A Symantec teria encontrado, entre as imagens capturadas, algumas que foram identificadas como “cntrl” (controle).
Não há evidência, porém, de que isso tenha ocorrido e nem de que essa capacidade tenha sido explroada. Até hoje, os únicos ataques cibernéticos a causarem apagões elétricos ocorreram na Ucrânia e foram realizados por um grupo de ataque aparentemente distinto.
SAIBA MAIS
Ucrânia tem segundo apagão elétrico causado por hackers
O “Dragonfly” se destaca por ter possivelmente conseguido essa capacidade em sistemas elétricos do ocidente, incluindo nos Estados Unidos. O grupo estaria em operação desde 2011, mas estava dormente desde 2014, quando sua atividade foi exposta pela primeira vez.
A Symantec diz que o Dragonfly faz uso das chamadas “bandeiras falsas” ou “false flags” – evidências plantadas para que os ataques pareçam ter uma origem específica. Por isso, a empresa diz que é difícil determinar quem está por trás dos ataques ou de onde eles são.
Roubo de senhas
O Dragonfly ataca organizações usando senhas roubadas. Para isso, os invasores criam documentos maliciosos que são enviados por e-mail e que, uma vez abertos, vazam as senhas da vítima. Essas senhas são depois utilizadas em um segundo estágio de ataque para conseguir um acesso mais profundo na rede da organização.
Outras duas técnicas usadas pelos invasores são a “watering hole”, que envolve ataques a sites que eles sabem que serão visitados pelas vítimas, e a distribuição de aplicativos legítimos que foram adulterados para incluir os códigos dos golpistas.
Fonte: G 1
