Dragonfly (Energetic Bear) - rosyjska grupa APT polująca na sektor energetyczny
Dragonfly (Energetic Bear / Berserk Bear / Crouching Yeti) - analiza rosyjskiej grupy APT powiązanej z FSB, odpowiedzialnej za kampanie Havex/Backdoor.Oldrea przeciwko zachodnim firmom energetycznym. Mapowanie MITRE ATT&CK G0035.
Gdzieś w 2013 roku inżynier w europejskiej firmie energetycznej pobiera aktualizację oprogramowania do zarządzania zdalnym dostępem przemysłowym. Instalator wygląda identycznie jak oryginał - pochodzi z oficjalnej strony producenta, ma prawidłową nazwę pliku, prawidłowy rozmiar. Inżynier uruchamia go zgodnie z procedurą. Oprogramowanie instaluje się poprawnie, działa bez zarzutu. Tyle że oprócz narzędzia, które zamówił, na jego komputerze zagnieździło się coś jeszcze - trojan, który w ciągu kilku minut nawiąże połączenie z serwerem kontrolowanym przez rosyjski wywiad i zacznie systematycznie skanować sieć w poszukiwaniu serwerów OPC, sterowników SCADA i każdego innego elementu infrastruktury przemysłowej, do którego zdoła dotrzeć.
To nie był przypadek. To była operacja grupy Dragonfly - jednej z najdłużej działających i najbardziej cierpliwych grup APT w historii cyberbezpieczeństwa przemysłowego.
Kim jest Dragonfly?
Dragonfly to cyberszpiegowska grupa powiązana z rosyjską Federalną Służbą Bezpieczeństwa (FSB), a konkretnie z jej Centrum 16. W zależności od firmy badawczej, która ją śledzi, funkcjonuje pod wieloma nazwami: Energetic Bear (CrowdStrike), Berserk Bear (CrowdStrike, nowsza klasyfikacja), Crouching Yeti (Kaspersky), IRON LIBERTY (Secureworks), DYMALLOY (Dragos), Ghost Blizzard (Microsoft) czy TEMP.Isotope (Mandiant). W bazie MITRE ATT&CK jest katalogowana jako G0035.
Ta wielość pseudonimów nie wynika z chaosu nazewnictwa - odzwierciedla fakt, że grupa działa nieprzerwanie od co najmniej 2010 roku i przez ten czas weszła w pole widzenia praktycznie każdego dużego zespołu Threat Intelligence na świecie.
Początkowo Dragonfly koncentrowała się na sektorach obronnym i lotniczym. Na przełomie 2012 i 2013 roku nastąpiła zmiana priorytetów - głównym celem stała się infrastruktura energetyczna: firmy naftowe i gazowe, elektrownie, operatorzy sieci przesyłowych i dystrybucyjnych w Stanach Zjednoczonych, Kanadzie, Turcji, Szwajcarii i wielu krajach europejskich.
Chronologia kampanii
| Okres | Wydarzenie |
|---|---|
| 2010-2012 | Pierwsze operacje grupy; cele w sektorze obronnym i lotniczym |
| 2013 (wiosna) | Zwrot ku sektorowi energetycznemu; pierwsze warianty trojana Havex |
| 2013-2014 | Trojanizacja instalatorów trzech europejskich producentów oprogramowania ICS |
| 2014 (czerwiec-lipiec) | Symantec, F-Secure i ICS-CERT publikują analizy Havex/Backdoor.Oldrea |
| 2015 (grudzień) | Początek kampanii Dragonfly 2.0 - spear-phishing wymierzony w firmy energetyczne |
| 2016-2017 | Eskalacja Dragonfly 2.0; zrzuty ekranów z systemów sterowania, kradzież poświadczeń |
| 2017 (wrzesień) | Symantec publikuje raport o Dragonfly 2.0; ostrzeżenie przed potencjałem sabotażu |
| 2022 (marzec) | DOJ USA stawia zarzuty trzem oficerom FSB: Akulov, Gavrilov, Tyukov |
| 2025 (grudzień) | Skoordynowany atak na polską infrastrukturę OZE; CERT Polska wiąże incydent z klastrem Berserk Bear/Dragonfly |
Havex (Backdoor.Oldrea) - trojan, który przyszedł z aktualizacją
Sercem pierwszej kampanii Dragonfly (2013-2014) był trojan Havex, znany też jako Backdoor.Oldrea. To narzędzie typu RAT (Remote Access Trojan), które umożliwiało atakującym pełen zdalny dostęp do zainfekowanego systemu - od kradzieży plików i poświadczeń po enumerację zasobów sieciowych.
Trzy wektory infekcji
Dragonfly stosowała równolegle trzy metody dostarczania Havexa:
- Spear-phishing - celowane wiadomości e-mail z załącznikami w formacie PDF zawierającymi exploit
- Watering hole - kompromitacja witryn internetowych odwiedzanych przez pracowników sektora energetycznego; zestawy exploitów LightsOut i Hello przekierowywały ofiary na złośliwe serwery
- Trojanizacja łańcucha dostaw - najbardziej wyrafinowany wektor, stanowiący bezpośrednią paralelę do mechanizmu infekcji zastosowanego w ataku Stuxnet
To trzeci wektor uczynił Dragonfly naprawdę niebezpieczną. Grupa przejęła kontrolę nad witrynami trzech europejskich producentów oprogramowania dla sektora ICS:
| Producent | Kraj | Profil |
|---|---|---|
| MESA Imaging | Szwajcaria | Kamery przemysłowe do pomiarów odległości |
| eWON (Talk2M) | Belgia | Rozwiązania do zdalnego dostępu przemysłowego |
| MB Connect Line | Niemcy | Routery przemysłowe mbNET i usługa VPN mbCONNECT24 |
W każdym przypadku schemat był identyczny: atakujący włamywali się na serwer producenta, podmieniali legalne instalatory oprogramowania na wersje z dołączonym trojanem Havex, a następnie czekali, aż klienci sami pobiorą zainfekowane pliki. Użytkownik pobierał pozornie oryginalny instalator z oficjalnej strony producenta - nie z podejrzanego forum, nie z maila od nieznajomego - z oficjalnej strony. I właśnie ta pozorna legalność czyniła atak tak skutecznym.
Skanowanie serwerów OPC - rozpoznanie infrastruktury przemysłowej
To, co odróżniało Havexa od typowego trojana szpiegowskiego, to jego dedykowany moduł do skanowania serwerów OPC (Open Platform Communications). OPC to standardowy interfejs komunikacji między systemami SCADA a urządzeniami polowymi w środowiskach Windows - serce wielu instalacji przemysłowych.
Moduł OPC Havexa wykorzystywał protokół DCOM (Distributed Component Object Model) do łączenia się z serwerami OPC w sieci ofiary i zbierał szczegółowe informacje: identyfikatory CLSID, nazwy serwerów, identyfikatory programów, wersje OPC, dane producenta, stan pracy, liczbę grup i przepustowość serwera. Potrafił też enumerować tagi OPC - czyli nazwy zmiennych procesowych odpowiadających konkretnym punktom pomiarowym i sterującym w instalacji.
TIP
Skanowanie OPC przez Havex stanowiło rozpoznanie - mapowanie architektury systemów sterowania. Samo w sobie nie powodowało zniszczenia, ale dostarczało atakującym dokładną wiedzę o tym, jakie urządzenia znajdują się w sieci, jak są skonfigurowane i jak je kontrolować. To wiedza niezbędna do przygotowania sabotażu.
ICS-CERT (obecnie CISA) ostrzegł, że sam proces skanowania powodował niestabilność - testy wykazały, że moduł OPC Havexa powodował intermitentne awarie popularnych platform OPC, co mogło prowadzić do utraty komunikacji z urządzeniami polowymi.
Łącznie kampania Havex dotknęła ponad 17 000 unikalnych urządzeń w Stanach Zjednoczonych i ponad 135 innych krajach.
Dragonfly 2.0 - od rozpoznania do gotowości sabotażowej
W grudniu 2015 roku Symantec zidentyfikował początek nowej kampanii, którą nazwał Dragonfly 2.0. Tym razem grupa nie ograniczała się do pasywnego zbierania danych. Badacze odkryli zrzuty ekranów z zainfekowanych stacji roboczych - nazwane według schematu [opis_maszyny_i_lokalizacja].[nazwa_organizacji]. W wielu nazwach plików pojawiał się ciąg “cntrl” (control), co wskazywało, że kompromitowane maszyny miały dostęp do systemów sterowania.
Symantec w raporcie z września 2017 roku postawił sprawę jasno: Dragonfly osiągnął poziom dostępu, który umożliwiałby sabotaż - celowe zakłócenie lub zniszczenie infrastruktury energetycznej. Nie zrobił tego (jeszcze), ale miał taką możliwość.
Cele kampanii Dragonfly 2.0 obejmowały firmy energetyczne w USA, Turcji i Szwajcarii. Metody obejmowały spear-phishing z dokumentami kradnącymi poświadczenia sieciowe (za pomocą narzędzia Phishery), watering hole oraz ataki na protokoły uwierzytelniania.
Akt oskarżenia DOJ - ludzie stojący za pseudonimami
24 marca 2022 roku Departament Sprawiedliwości Stanów Zjednoczonych odtajnił akt oskarżenia z sierpnia 2021, wskazując trzech oficerów FSB jako operatorów kampanii Dragonfly:
- Pavel Aleksandrovich Akulov
- Mikhail Mikhailovich Gavrilov
- Marat Valeryevich Tyukov
Zarzuty obejmowały oszustwo komputerowe, oszustwo telekomunikacyjne, kradzież tożsamości z użyciem środków technicznych oraz spowodowanie szkód w infrastrukturze energetycznej. Akt oskarżenia opisywał dwie fazy operacji: pierwszą (2012-2014) opartą na trojanie Havex i trojanizacji łańcucha dostaw, oraz drugą (2014-2017) skupioną na zdalnym dostępie i kradzieży poświadczeń.
Żaden z oskarżonych nie został zatrzymany.
Polska, grudzień 2025 - Berserk Bear wraca
29 grudnia 2025 roku, w środku zimowych mrozów, polską infrastrukturę energetyczną dotknął skoordynowany cyberatak. W ciągu jednego dnia zaatakowane zostały dziesiątki farm wiatrowych i fotowoltaicznych, prywatne przedsiębiorstwo produkcyjne oraz elektrociepłownia obsługująca niemal pół miliona odbiorców.
Atakujący uderzyli w punkty przyłączenia do sieci elektroenergetycznej (GPO) - kluczowe węzły łączące instalacje OZE z siecią dystrybucyjną, zarządzane zdalnie. Wykorzystali podatności w urządzeniach VPN i firewallach, uzyskali uprawnienia administracyjne i przeprowadzili zautomatyzowane działania destrukcyjne, w tym resetowanie urządzeń do ustawień fabrycznych. W przypadku elektrociepłowni infiltracja trwała znacznie dłużej - pierwsze ślady obecności hakerów sięgały marca 2025.
TIP
Raport CERT Polska z stycznia 2026 wiąże ten atak z klastrem aktywności znanym jako Static Tundra, Berserk Bear, Ghost Blizzard i Dragonfly - czyli z FSB Centrum 16. To ten sam aktor, który ponad dekadę wcześniej trojanizował instalatory europejskich producentów oprogramowania ICS. Metoda się zmieniła, ale cel pozostał ten sam: infrastruktura energetyczna.
Choć system elektroenergetyczny utrzymał stabilność i nie doszło do przerw w dostawach energii, CERT Polska określił charakter działań jako destrukcyjny - nie chodziło o szpiegostwo, lecz o wyrządzenie maksymalnych szkód.
Mapowanie MITRE ATT&CK (G0035)
Dragonfly jest katalogowana w bazie MITRE ATT&CK jako G0035. Poniżej kluczowe techniki powiązane z kampaniami tej grupy:
| Technika | ID | Opis w kontekście Dragonfly |
|---|---|---|
| Supply Chain Compromise | T1195 | Trojanizacja instalatorów oprogramowania ICS (MESA Imaging, eWON, MB Connect Line) |
| Drive-by Compromise | T1189 | Watering hole na witrynach odwiedzanych przez pracowników sektora energetycznego |
| Phishing: Spearphishing Attachment | T1566.001 | Celowane wiadomości z dokumentami kradnącymi poświadczenia (Phishery toolkit) |
| Valid Accounts | T1078 | Wykorzystanie skradzionych poświadczeń do zdalnego dostępu |
| Screen Capture | T1113 | Zrzuty ekranów z systemów sterowania (Dragonfly 2.0) |
| Indicator Removal | T1070 | Usuwanie logów, skryptów, zrzutów ekranów i kluczy rejestru po operacji |
| Remote Services | T1021 | Komunikacja C2 przez porty TCP 445, 139 oraz UDP 137, 138 |
| Commonly Used Port | T1043 | Ukrywanie komunikacji C2 w ruchu na standardowych portach |
W kontekście ICS, Havex jest dodatkowo katalogowany jako S0093 z technikami obejmującymi skanowanie OPC (T0887 - Remote System Information Discovery).
Wnioski dla bezpieczeństwa OT
1. Łańcuch dostaw to wektor, nie wyjątek
Dragonfly udowodnił, że kompromitacja dostawcy oprogramowania ICS jest realnym i powtarzalnym wektorem ataku. Pobranie instalatora z oficjalnej strony producenta nie gwarantuje jego integralności. Weryfikacja sum kontrolnych, stosowanie whitelistingu aplikacji i monitorowanie zmian w oprogramowaniu to podstawowe środki obronne.
2. Skanowanie OPC jako sygnał wczesnego ostrzegania
Aktywność skanowania OPC w sieci przemysłowej powinna być traktowana jako incydent bezpieczeństwa. Monitorowanie ruchu OPC/DCOM, wykrywanie nietypowych enumeracji tagów i połączeń z nieautoryzowanych hostów pozwala zidentyfikować rozpoznanie na wczesnym etapie.
3. Segmentacja i kontrola zdalnego dostępu
Atak na polskie farmy OZE w grudniu 2025 pokazał, że interfejsy VPN dostępne z internetu bez uwierzytelniania wieloskładnikowego (MFA) stanowią otwarte drzwi. Stosowanie tych samych poświadczeń w wielu lokalizacjach pozwala atakującemu eskalować z jednego obiektu na dziesiątki. Każdy punkt zdalnego dostępu musi być chroniony MFA, a poświadczenia muszą być unikalne dla każdej lokalizacji.
4. Dwanaście lat cierpliwości
Dragonfly działa od 2010 roku. Zmienia narzędzia, zmienia pseudonimy, ale nie zmienia celu. Grupa, która przez ponad dekadę systematycznie buduje dostęp do infrastruktury energetycznej na trzech kontynentach, nie robi tego z ciekawości. Robi to, bo ktoś może kiedyś wydać rozkaz “wyłącz”.
Źródła
- MITRE ATT&CK - Dragonfly (G0035)
- Symantec - Dragonfly: Western energy sector targeted by sophisticated attack group
- CISA - ICS Focused Malware (Havex)
- Palo Alto Unit 42 - Why Havex Is a Game-Changing Threat to Industrial Control Systems
- CERT Polska - Raport z incydentu w sektorze energii z 29 grudnia 2025 roku
- DOJ - Four Russians Charged with Dragonfly Attacks on Critical Infrastructure
- Netresec - Full Disclosure of Havex Trojans
- Forsal.pl - Cyberatak na Polskę to groźny przełom. Obudził się rosyjski Berserk Bear