Júniusban a legnagyobb adatszivárgási incidens „mindössze” 1,3 millió felhasználót érintett, századannyit, mint az azt megelőző hónap hasonló biztonsági eseménye, olvasható a Symantec Intelligence Report legfrissebb havi jelentésében. Júniusban ugyanakkor naponta átlagosan 88 adathalász támadás történt, ami a májusi csökkenés után a márciusban és áprilisban tapasztalt szintekhez való visszatérést jelenti.
Az OS X operációs rendszer különböző változatait támadó fenyegetések közül a viszonylag újnak számító OSX.Stealbit.B bizonyult a legaktívabbnak, amely az esetek 25,7 százalékában volt érintett. Ez a malware speciális, a bitcoinhoz kapcsolódó szoftvereket keres az OS X-alapú gépeken, és megpróbálja módosítani őket a fizetőeszköz ellopásának érdekében.
Egy év távlatában az Android kártevővariánsok száma víruscsaládonként az elmúlt hónapban csökkent a legalacsonyabb szintre. Júniusban nem változott a felfedezett víruscsaládok száma, ami azt jelzi, hogy a támadók nagyobb sikereket értek el a jelenlegi kártevőcsaládokkal, így nem volt szükség új variánsok megalkotására.
A június csendes hónapnak számított a szoftverekben felfedezett sérülékenységek szempontjából is, csak 438 ilyen esetet jelentettek – ez volt a legalacsonyabb szám az elmúlt 12 hónapban, és nulladik napi sérülékenység egyáltalán nem volt közöttük.
Azt követően, hogy figyelmeztette a megtámadott szervezeteket, és értesítette az illetékes, nemzetközi hatóságokat, a Symantec június 30-án leplezte le nyilvánosan a Dragonfly – más néven Energetic Bear – elnevezésű támadássorozatot. A támadók, akik legalább 2011 óta működhetnek, kezdetben védelmi és légügyi vállalatokat vettek célba az Egyesült Államokban és Kanadában, majd figyelmük 2013 elején amerikai és európai energiaipari cégek felé fordult.
Az új Stuxnet
Ettől kezdve a Dragonfly célpontjai között voltak energiahálózat-üzemeltetők, nagy villamosenergia-cégek, kőolajvezeték-üzemeltetők, valamint energiaipari vezérlőrendszerekhez (industrial control system – ICS) használatos berendezéseket gyártó vállalatok. A megcélzott szervezetek többsége az Egyesült Államokban, Spanyolországban, Franciaországban, Olaszországban, Németországban, Törökországban és Lengyelországban működik.
A Dragonfly csoport elsősorban két eszközt, a Backdoor.Oldrea és a Trojan.Karagany trójai programot (Remote Access Trojans – RAT) használta a támadásokhoz. Az Oldrea hátsóajtóként működik, amelyen keresztül a támadók hozzáférnek az adatokhoz, és további kártevőket is telepíthetnek a fertőzött számítógépekre. Vélhetően egyedi kódról van szó, amelyet a csoport kifejezetten magának írt vagy íratott. Ezzel ellentétben a Karagany megvásárolható volt a feketepiacon, első verziója 2010-ben látott napvilágot. A Symantec véleménye szerint a Dragonfly megvásárolhatta a kódot, amelyet saját igényeinek megfelelően módosított. Ezt a verziót Trojan.Karagany!gen1 néven szintén a Symantec fedezte fel.
Az ellopott adatokat a támadók az általuk irányított távoli command-and-control (C&C) szerverekre töltik fel, további kártevőket telepítenek, valamint futtatják a fertőzött gépeken lévő fájlokat. Emellett olyan bővítményeket is képesek futtatni, amelyek összegyűjtik a jelszavakat, képernyőképeket készítenek, valamint katalogizálják a fertőzött gépek dokumentumait.
Mindebből kitűnik, hogy a Dragonfly csoport kiváló erőforrásokkal és a kártevők széles tárházával rendelkezik, többféle módszerrel is képes támadást indítani, és számos külső weboldalt is feltör az akció során. Magas színvonalú technikai megoldásai arra utalnak, hogy a csoport akcióját valamely állam támogathatta – mutatott rá a Symantec. A támadássorozat a Stuxnet nyomdokaiban halad, amely az első ismert, ICS rendszereket célzó támadás volt. De míg a Stuxnet vírust szabotázsra tervezték, addig a Dragonfly célja elsősorban a kémkedés.
