Symantec publie un rapport au sujet d'une campagne de cyberespionnage qui vise principalement le secteur de l'énergie avec pour cible des acteurs essentiellement présents aux États-Unis et en Europe, dont en France.

Symantec-Dragonfly-cibles Pire, ce cyberespionnage aurait également des capacités de sabotage qui n'ont toutefois pas été exploitées. Pour le moins inquiétant lorsque Symantec fait par exemple mention de producteurs d'électricité.

Pour ses attaques, le groupe baptisé Dragonfly a principalement eu recours à deux chevaux de Troie d'accès à distance lui permettant d'avoir accès et de contrôler des ordinateurs compromis. Dénommé Oldrea ou bien Havex, un des ces malwares serait une création personnelle du groupe, ce qui laisse supposer qu'il dispose de sérieuses ressources.

Havec a notamment été diffusé après le piratage de sites Web de trois entreprises qui vendent des logiciels utilisés dans les systèmes de contrôle industriel. Des mises à jour logicielles infectées ont ainsi pu être directement téléchargées par des clients.

C'est pour cette raison que Symantec établit un parallèle avec la campagne Stuxnet ( un malware conçu par les États-Unis et Israël ) qui était la première connue à cibler des systèmes de contrôle industriel. Toutefois, Symantec ajoute :

" Alors que Stuxnet a ciblé le programme nucléaire iranien et avait le sabotage comme premier objectif, Dragonfly semble avoir une portée beaucoup plus large d'espionnage et d'accès permanent avec le sabotage en option si nécessaire. "

Il y a eu d'autres méthodes d'infection dont certaines plus traditionnelles à l'instar du phishing ciblé via un fichier PDF malveillant envoyé en pièce jointe d'un email adressé à des responsables de certaines entreprises, un code iFrame malveillant injecté dans des sites Web en relation avec le secteur de l'énergie.

Avant de s'en prendre à ce secteur de l'énergie à partir de début 2013, le groupe Dragonfly s'est d'abord attaqué dès 2011 à des entreprises du domaine de la défense et de l'aviation aux États-Unis et au Canada.

Pour Symantec, le groupe Dragonfly est a priori soutenu par un État de l'Europe de l'Est. Un indice plutôt surprenant qui plaide en ce sens est le fait que le groupe est actif du lundi au vendredi, et sur une période allant de 9h à 18h dans la journée pour le fus eau horaire UTC +4. Des horaires de bureau en Europe de l'Est...