Grupa znana także jako Energetic Bear funkcjonuje co najmniej od 2011 r. Zaatakowała wtedy wojskowe amerykańskie firmy z branży lotniczej. Od 2013 r. zajęła się producentami energii i specjalistycznego sprzętu dla tegosektora oraz operatorami rurociągów. 27 proc. ataków przypuszczono na przedsiębiorstwa z Hiszpanii, 24 proc. na firmy amerykańskie, 9 proc. na francuskie. Ofiarą co dwudziestego ataku padły firmy z Polski. Jak podaje firma Symantec, Dragonfly używa najczęściej programu szpiegowskiego Havex. Pozwala on włamywaczowi na korzystanie z cudzego komputera w taki sposób, jakby miał do niego fizyczny dostęp. Oprócz tego działa na trzy sposoby. Jednym jest wysyłanie mejli (dotychczas z adresu na Gmailu) z załączonym plikiem pdf. Po otwarciu pliku przez adresata na jego komputerze instalowało się złośliwe oprogramowanie. Drugim sposobem było lokowanie „pluskiew” na stronach internetowych odwiedzanych przez pracowników atakowanej firmy. Trzecim - umieszczanie „koni trojańskich” w programach sprzedawanych legalnie przez trzech różnych producentów. Działanie włamywaczy widać często dopiero po kilku miesiącach.
Zdaniem analityków z Symantec, Dragonfly pochodzi z Europy Wschodniej. Według dziennika „New York Times”, hakerzy pracują dla Moskwy. Wskazuje na to m.in. ich zainteresowanie amerykańską obronnością i europejskim sektorem energetycznym. Symantec zwraca uwagę, że cyberprzestępcy działają od poniedziałku do piątku w godzinach 9–18 czasu wschodnioeuropejskiego. Jak wyjaśnia Łukasz Kister, elektroniczni włamywacze mogą być najemnikami albo ideowcami.
Więcej w dzisiejszej "Gazecie Polskiej Codziennie".
Reklama
