Группировка снова активизировалась в конце 2015 года.

Впервые Dragonfly обозначила себя в 2011 году, но к 2014 году группа свернула свою деятельность после нескольких докладов экспертов по кибербезопасности. Затем группировка снова активизировалась в конце 2015 года. Хакеры проникли в операционные системы энергетических компаний как минимум трех стран: США, Швейцарии и Турции. Эксперты Symantec указали, что злоумышленники могут как саботировать работу электросетей, так и полностью контролировать ее. Перебоев в подаче электроэнергии действия хакеров не вызвали, однако такой риск существует. Даже если хакеры скомпрометируют небольшую энергетическую компанию, это может поставить под угрозу всю энергосистему, предупреждает Symantec.

Журналист The Daily Beast Кевин Поулсен отмечает, что с начала 2017 года Symantec отследила около 100 таких взломов, причем половина из них произошла в США. Таким образом, у Dragonfly предположительно есть возможности по управлению системами контроля электросетей — компьютеризированными системами, включающими механизмы замыкания электроцепей.

Symantec выяснила, что сейчас злоумышленники собирают информацию о работе энергетических систем.

Как поясняет Поулсен, до сих пор вторжения представляли собой сбор разведданных: технических диаграмм, паролей, отчетов, шифровальных ключей — в основном из административных сетей, которые не контролируют оборудование. По его словам, только в нескольких случаях хакеры проникли в сеть, контролирующую электростанцию. Однако технический директор Symantec Security Response Викрам Тхакур отметил, что хакеры не торопились уйти из сети.

Symantec уже уведомила об угрозе свыше 100 компаний и организаций, включая Североамериканскую корпорацию по исследованию надежности (NERC) и министерство внутренней безопасности США. По оценке экспертов, удаления вредоносного ПО с компьютеров недостаточно, хакеры все равно смогут управлять системой удаленно, поскольку располагают доступом к учетным записям и другим данным, позволяющим вернуть контроль. Symantec предупредила, что в будущем хакеры могут перейти к новому этапу — использованию полученного доступа «для более разрушительных задач».

Эрик Чен

Symantec

Мы видим их активность, понимаем, как они работают, приблизительно понимаем, как они могут провести свою диверсионную кампанию. Но каких-либо доказательств того, что они нарушают работу, нет. Они ждут случая, когда произойдет какое-то политическое событие, и тогда у них будет средство для кибернаступления​.

Исследователи отметили, что часть кода написана на русском и французском языках. Предполагается, что это сделано, чтобы запутать экспертов и не дать определить страну происхождения злоумышленников.

Как напоминает РБК, другая американская компания, CrowdStrike, также занимающаяся информационной безопасностью, еще в 2014 году сообщила об активности хакерской группы Energetic Bear, возложив на нее ответственность за кибератаки на более чем 2 000 энергетических и промышленных компаний по всему миру. Специалисты CrowdStrike тогда пришли к выводу, что за Energetic Bear стоят российские военные. «Лаборатория Касперского» тогда же подтвердила факт активности этой группы, однако доказательств, что она связана с Россией, не нашла. [tjournal.ru, theguardian.com]