Alig egy hónapja írtam a Xenotime néven hivatkozott és többek között a (feltételezések szerint) szaúdi ipari létesítmény SIS (safety) rendszere elleni támadásért is felelősség tehető támadókról szóló Dragos elemzésről, nemrég pedig egy újabb publikációt adtak ki, ezúttal az általuk Dymalloy-nak nevezett csoportról.

A Dymalloy csoport tevékenysége bizonyíthatóan 2015-ig nyúlik vissza, de egyes jelek szerint már 2011-ben is aktívak lehettek. A támadók hagyományosnak tekinthető eszközökkel, célzott adathalászattal és ún. watering-hole támadásokkal juttatnak be malware-eket ipari létesítményekhez köthető weboldalakra, így próbálnak felhasználói adatokat szerezni, amikkel további hozzáférésekhez juthatnak.

A Dymalloy olyan malware-eket használ, mint például a Goodor, a DorShel vagy a Karagany. Ezek olyan, megvásárolható malware-ek, amik nem köthetőek kizárólag egyetlen támadói csoporthoz, így együtt használva viszont egyedi jellemzője a Dymalloy csoportnak, ugyanakkor kerülik az egyedi eszközök és malware-ek használatát, ami nehezíti a tevékenységük pontos azonosítását.

A Dragos elemzése szerint a Dymalloy használja a Mimikatz nevű nyílt forrású szoftvert, amivel Windows-alapú rendszerek memóriájából lehet felhasználói jelszavakat kinyerni. Ugyancsak a Dragos elemzői szerint a Dymalloy és a Symantec által Dragonfly-nak nevezett, 2011 és 2014 között megfigyelt ICS rendszerek elleni támadások között lehet kapcsolat.

Ahogy azt már sokan elmondták, a különböző támadókat és támadói csoportokat nagyon nehéz, már-már lehetetlen a jellemzőik alapján azonosítani, azonban az ehhez hasonló elemzések segíthetnek jobban megérteni azokat a támadókat, akiknek a különböző ICS rendszerek kompromittálása lehet a célja, így mindenképp hasznosnak tartom az ilyen anyagokat mindazok számára, akik ICS rendszerekkel dolgoznak, különösen, ha feladataik között az ipari rendszerek biztonságos működése is megjelenik.