Az indiai Kudankulam Atomerőmű (Kudankulam Nuclear Power Plant - KKNPP) elleni támadásról 2019. novemberben én is írtam a blogon, a támadás elemzése után az azt végrehajtó csoportot nevezték el Wassonite-nak a Dragos elemzői csapata.

Az eddig feltárt részletek alapján úgy látszik, hogy a Wassonite csoport számos ICS rendszert is üzemeltető szervezet ellen indított támadásokat, elsősorban Indiában és a feltételezések szerint esetleg Dél-koreai és japán célpontok ellen. Mindezidáig nincs bizonyíték arra, hogy a Wassonite csoport valaha is képes lett volna olyan támadások kivitelezésére, amivel megzavarta volna az ipari folyamatirányító rendszerek működését vagy rombolta volna az ICS rendszereket. Az eddigi elemzések alapján tevékenységük megmarad az ICS Cyber Kill Chain első szintjén, vagyis céljuk hozzáférést szerezni a célba vett ipari szervezetek IT hálózataihoz és rendszereihez.

A Wassonite eszköztárában kiemelt szerepet kap a DTrack malware (amiről én is írtam a KKNPP elleni támadásról szóló posztban, a Kaspersky elemzése pedig itt olvasható)

Egyes feltételezések szerint a Wassonite és a szintén Dragos-nevezéktan szerint Covellite, más kiberbiztonsági cégek által Lazarus néven hivatkozott csoportok között kapcsolat lehet (ezt elsősorban a DTrack és más, ahhoz kapcsolódó malware-ek használata miatti hasonlóságokra alapozzák), a két csoport képességei és az általuk használt infrastruktúra további bizonyítékokat nem ad ennek a feltételezésnek a bizonyítására.

A Dragos összefoglalója a Wassonite csoportról itt érhető el: https://dragos.com/resource/wassonite/