Think about all the things you need to do in your data center to keep the business happy. Manage multi-vendor storage arrays in your SAN, introduce and manage new SSD/Flash arrays whether in server/ in SAN/ or as DAS, support increasing storage requests from multiple cost centers without approvals to buy new storage.. and that’s only on the storage side. What about having visibility across your physical and virtual environments, managing high availability and disaster recovery scenarios including failover and testing, and finally having the ability to create reports that you can feed back to business based on their needs?

Veritas Operations Manager provides a single standard interface for solutions under the Symantec Storage Foundation High Availability suite of products. With the latest 6.1 release, Veritas Operations Manager now includes the following for your ease of use:

Flexible Storage Sharing (FSS) – Improved visibility and management for Cluster Volume Manager and Symantec Cluster File System environments, as well as supporting FSS for Symantec Storage Foundation 6.1.

SmartIO – Support for managing the innovative caching features of SmartIO for both Linux and Windows Storage Foundation 6.1 releases. See the FSS solution with SmartIO and some of the new VOM capabilities.

Performance alerting – Configurable thresholds to notify users when things like I/O latency and failover time go beyond acceptable levels.

Operations APIs – New easy to integrate with Web APIs give customers the ability to better automate differentiating capabilities like Virtual Business Services and Recovery Plan into their ecosystems.

HSCL enhancements – We continue to extend support for OS, Virtualization, Application, and Storage platforms. Notables include support for newer versions of Oracle, DB2, Linux (RHEL/SuSE/CentOS/OEL), Windows 2012 and Hyper-V, and 3PAR storage.

For a complete list of features, please check the Release Notes and HSCL on SORT.

For more information on Veritas Operations Manager, visit the Operations Manager Product Page.

We all know that nowadays malware isn't just a PC problem. With increasing numbers of organizations letting employees use their own mobile devices for business purposes, they have a lot on the line. Here are 7 helpful tips to help keep company data protected when you have a mobile workforce.

We are happy to announce the Beta Program for Symantec™ System Recovery 2013 R2 release. We are seeking Symantec System Recovery customers who are interested in testing, validating and actively providing feedback on Symantec System Recovery code within their lab and/or production environments. You can be among the first to see all new features of Symantec System Recovery, and your valuable feedback can help shape the future of Symantec System Recovery.

Click Here to apply for this Testing Opportunity

This new version of Symantec System Recovery 2013 R2 delivers one of the most powerful and reliable backup and recovery solutions available today. This release focuses on providing support for latest platforms such as Windows 8.1 Update1, Windows 2012 R2 Update (KB2919355), VMWare ESXi 5.5; support for latest Linux distributions such as RHEL 6.5, CentOs 6.5, CentOs 5.10 etc. Other features include incremental backup support for Resilient File System (ReFS) and native 4K disks.

We anticipate that the beta program will start in August 2014. Additional details will be communicated upon acceptance into the beta program.

For any queries related to this Beta program, please send e-mail to ssrbeta@symantec.com. Thank you for your interest and we look forward to your active participation.

Best regards, 

Symantec System Recovery Beta team

E-mail: ssrbeta@symantec.com

If you have upgraded to Enterprise Vault 11.0 you must have noticed new version of EV Search.

Apart from multiple browser support and enhanced UI there are many new features that are added in the new

release. One such feature is Favorites where an end user can add a Favorite Folder or save an Advance Search

query under Favorites.

Favorite Folder:

To add any folder in the favorites you need to right click on the desired folder and select "Show in Favorites"

Under favorites you can perform several right click opeartions like "Rename, Remove from Favorites, Move Up

& Move Down" on the folders

Saved Search:

If you want to save a frequently used search query than you need to perform an Advance Search and than save

the query. Clicking on the saved search will trigger an advance search and results will be dispalayed in the results

pane. Upon a right click on the saved search you are allowed to perform operations like "Edit, Rename,Remove,

Move Up and Move Down". 

Favorite Folder and Saved Search will appear in the top most part of the Navigation Pane under Favorites

section.This feature is extremely useful if the folder that you frequently access is part of deep folder hierarchy

or if you daily perform same search by using a complex search criteria. 

Customers, partners and analysts gathered together to hear the latest on Symantec’s unified vision for its security portfolio and insights on the company’s new Managed Security Services – Advanced Threat Protection (MSS – ATP).

Held at the Raffles Convention Centre, the Singapore Symantec Security Symposium began with Country Director Yuh Woei Tan’s opening note that set the theme of the event – “Proactive. Practical. Trusted Security”– in place. The theme was also echoed by Sean Doherty, Vice President of Technical Strategy & Operations, whose keynote on Symantec Unified Security homed in on the billions of attacks that are happening to our customers each year. In an environment where breaches are inevitable and information is everywhere, he highlighted that protection alone is not enough – detection and response are also key pieces of the security puzzle that will help to safeguard customers from potentially catastrophic attacks.

In the Unified Security group, Symantec is now unifying its products across endpoints, email and gateways to optimize productivity and provide better protection from next-generation threats. At the heart of our Unified Security group is a new offering, MSS – ATP, now available. This new service allows businesses and their security staff to keep track of malicious codes and threats. By integrating intelligence from threat gateways such as, Cisco SourceFire, Palo Alto Networks and Check Point, with Symantec Synapse, real threats will be quickly identified and dealt with. This solves the issue of too many false positives and helps businesses lower their operating costs.

At the Security Symposium, some of the leading Singapore-based security analysts from global firms had the opportunity to meet with Symantec executives that included Brian Witten, Senior Director of Engineering, Peter Sparkes, Director of Managed Security Services and Alex Lei, Director of Security Sales in Asia South who provided an update on Symantec’s Unified Security strategy and offerings, as well as insight into our business and GTM activities in this region.

The discussions touched on multiple topics, including ATP and mobility. Just a few years ago, Bring Your Own Device (BYOD) schemes were little more than a trend. Today, BYOD has become commonplace in big enterprises, pushing the need for even greater security and management solutions in a growing mobile market.

This is where Symantec sees its Unified Security strategy coming to the fore: through converging and integrating its security offerings across different platforms, it provides solutions that help to protect and underpin its customers’ businesses, in a world where managing increasingly challenging IT environments has become the constant challenge.

Overall feedback from the event has been very positive and analysts commented that Symantec has streamlined its portfolio that offers more clarity to both channel partners and customers. Analysts also noted that aside from the ATP market, Symantec has a great opportunity to broaden the company’s reach in the mobility market, which is expected to grow exponentially in the coming years.

With customer, partner and analyst-oriented activities ranging from experience booths, a security roundtable, and an executive engagement session, the Symantec Security Symposium was a great success in strengthening relationships and boosting Symantec’s leadership position in the industry by aligning our security strategies to our customers and partners needs.

If you would like to know more about the event, please contact Sancharini Mazumdar, Asia Pacific & Japan Industry Analyst Relations. You can also watch some of the videos from Symantec Vision Las Vegas for more insights on Symantec's vision here.  

New verison of the Enterprise Vault Search allows end users to set their own preferences.

These preferences are saved in the database and hence persisted across sessions and machines.

To set preferences click on the settings icon available at the extreme top right corner of the screen

next to the user's display name.

Sidebar: In the Sidebar tab you can set your preference related to the Sidebar (navigation pane) and

Favorites. By default both the options are checked

Archive Groups: In the Archive Groups tab you can create custom archive group(s) and add archive(s) to

the group. This feature will be most useful if you have access to large number of archives and if you wish to

group frequently accessed archives.

Reading Pane: It's quite self explanatory, here you can set the Reading Pane orientation.

By default the orintation is set as "Bottom" aligned.

Hit Highlighting: This tab allows you to set the preferences around hit highlighting of search criteria.

By default hit highlighting is enabled for both reading as well as results pane and default color is set as Yellow.

Advance Search: With this option enabled you will see custom fields in the Advance Search.

This feature is useful for power users if they want to perform search on any custom (Text, Date, Number)

property. By default this option is unchecked.

Exchange Account \ Domino Account: This tab pre-populates logged in user's Mailbox Name and

Exchange \ Domino Server name. The details listed in the tab are used while restoring items to the Mailbox.

2Tware Convert VHD è un utile programma per convertire dischi virtuali di VMware VMDK in un formato Microsoft VHD. Questo tool è in grado di eseguire la conversione dei dischi virtuali creati per essere eseguiti con VMware in maniera da poterli testare anche con MIcrosoft Virtual PC.

L'altra interessante caratteristica che lo contraddistingue è quella di eseguire anche la conversione di un disco fisico e quindi di partire da una compuer esistente per generare il disco virtuale.
Questa funzione è conosciuta anche come conversione P2V ( Phisical to Virtual). Questo consente tra le altre cose, anche di poter partire da una macchina fisica, replicare la configurazione e poi convertirla in virtuale, dove poi testare dei nuovi software in un ambiente di lavoro effettivo ma in maniera assolutamente sicura e controllata.

Licensza : Gratuita per uso personale e aziendale

Link : 2Tware Convert VHD

Reference (ENG) - Symantec Connect - How to Convert VMDK to VHD Virtual Disk Image

This week we bring you a two-part series highlighting activities across our Green Teams. These are just a snapshot of the numerous activities our Green Teams are contributing to every day ranging from volunteering in local communities to spearheading campus-wide sustainability efforts.

Today we begin with a post on our Springfield office’s recent award for sustainable commuting. Following we will bring you an update on the Green Team’s One Mug, One Planet campaign. 

Last month, over 200 Symantec employees at our Springfield office participated in the region’s annual Business Commute Challenge (BCC), and helped our office win in the category for the largest sized companies!

The BCC is an annual week-long, friendly competition amongst local area Eugene-Springfield businesses to promote low impact forms of commuting and challenge companies to save the most non-drive alone trips in one week. The competition brings employers and workplace teams together to turn the daily commute into a transportation adventure.

This year more than 1,932 local employeesformed 175 teams to participate in the BCC. In just one week, BCC participants reduced single-person car travel by 68,987 miles, saving 70,234 pounds of carbon dioxide.

Symantec has participated in this challenge in previous years, but this year we saw an incredible jump in participation and enthusiasm for the event. 203 employees - 14% of the site - signed up and participated. Of those employees, we logged 612 commute days (or non-drive alone trips) during the competition week from May 10th – 16th placing us at the top of our category.

Emissions from commuting are one of the key impacts our employees and business have on the environment, and we are constantly looking for ways to promote and encourage sustainable and healthy transportation options.

This effort was spearheaded by Internal Green Team Leader Robin Carl. Thank you Robin, all participants, and congrats to our Springfield office for paving the way for sustainable commuting in your community!

Interested in learning more about Symantec’s Green Teams?

Earlier this year, more than 800 ChannelPro Network readers cast their votes for the most partner- and SMB-friendly products, technologies, services, programs and professional organizations in the channel. Today, I’m happy to share that we won awards in three categories in the ChannelPro Readers’ Choice awards. Symantec is a gold winner for “Best Security Software Suite” and “Best Email Security Vendor” and a silver winner for “Best Anti-Virus Vendor.”

The ChannelPro Readers’ Choice awards are very important to us because many of our partners are ChannelPro readers. ChannelPro is a dedicated news source for IT channel partners who serve the needs of small and medium-sized businesses. Winning three Readers’ Choice awards is a huge honor for us.

For more details, be sure to check out the Reader Choice award results online at ChannelProNetwork.com and in the July print issue of ChannelPro-SMB.

Really appreciate some one can shade some light on how does the SEPM determine that a machine has been infected so as what are the conditions that are considered to declare a machine infected.

Moreover once the infected status has been cleared there is no way to retrieve the logs of the infected machine which requires to maintain the a manual record of  all the machine that were infected before, on that note like to request  Symantec to include the reporting feature to retrieve the old logs of the infected machine (not the current one).

標的から情報を盗み取るサイバースパイ活動の背後にいる攻撃グループが、妨害工作活動を仕掛ける能力を手に入れたようです。

Attackers planted code in a popular Web portal to redirect users to an exploit kit.

As I mentioned in the welcome post and introduction to the Enterprise Vault Engineering blog, one of our goals is to get under the hood of the product and provide a better understanding of some of the product’s internal and external workings. In order to do this, first I need to introduce you to some Engineering tools. By that I don’t mean Engineers that are tools

(though I am sure that may be a word you have sometimes used for us when you have encountered an issue with the product ;0), but the toolbox that we rely upon to get our job done. This list is by no means comprehensive, but below are a few of the metaphorical screwdrivers, pliers, spanners, hammers and wrenches that an EV Engineer needs to use whilst developing, implementing and supporting the product:

ADS Spy
Application Verifier
Baretail
Debug View
DebugDiag
Dependency Walker
DTrace
Event Tracing for Windows (ETW)
EventLogXP
EVORT
EVSVR
Expand.exe
Fiddler
FileMon
Fsutil
Fusion Log Viewer
IBM Lotusscript Debugger
IE Developer Tools
IL DASM
Log Parser
Logman
Lotus Notes Diagnostic Utility
MFCMapi
NetStat
Network Monitor
Notepad++
NotesPeek
OutlookSpy
Performance Analysis of Logs (PAL) Tool
Performance Monitor
ProcDump
Process Explorer
Process Monitor
SQL Profiler
WinDBG
WireShark
Xperf

In future blogs, different engineers will try to focus on some of these tools individually and provide some more context on the whys, whens, wheres and hows of their use with respect to Enterprise Vault.

In the meantime, if you have personally used additional tools that are not listed above when working with the product, feel free to mention them in the comments below so this blog can serve as a comprehensive toolbox list for any newcomers, and we will endeavour to include more details in future blogs on the tools that you mention also, giving you "More Power!"

Short bio for Steve C

Introduction

Often the most difficult types of problems we try to resolve are those where we cannot reproduce the same behavior or error internally that the customer experiences.   Often this is because we simply don’t have enough information and context (or specific sample data)  to create a truly analogous reproduction.

For example recently we had a customer case where a .NET XML error was seen in a dtrace log of our Sharepoint Archiving Task.  The error prevented certain items or libraries from archiving.  The error did not give enough information to pinpoint the problem item:

(EvSharePointArchiveTask)    <8868>    EV-H    {SPListWalker.ListFilesInFolder} Error listing files in the folder [folder]
System.InvalidOperationException: There is an error in XML document (1, 63651). ---> System.Xml.XmlException: '|', hexadecimal value 0x0B, is an invalid character. Line 1, position 63651.|   at System.Xml.XmlTextReaderImpl.Throw(Exception e)|   
at System.Xml.XmlTextReaderImpl.Throw(String res, String[] args)|   
at System.Xml.XmlTextReaderImpl.Throw(Int32 pos, String res, String[] args)|   
at System.Xml.XmlTextReaderImpl.ThrowInvalidChar(Int32 pos, Char invChar)|   
at System.Xml.XmlTextReaderImpl.ParseNumericCharRefInline(Int32 startPos, Boolean expand, BufferBuilder internalSubsetBuilder, Int32& charCount, EntityType& entityType)|   
at System.Xml.XmlTextReaderImpl.ParseNumericCharRef(Boolean expand, BufferBuilder internalSubsetBuilder, EntityType& entityType)|   
at System.Xml.XmlTextReaderImpl.HandleEntityReference(Boolean isInAttributeValue, EntityExpandType expandType, Int32& charRefEndPos)|   
at System.Xml.XmlTextReaderImpl.ParseAttributeValueSlow(Int32 curPos, Char quoteChar, NodeData attr)|   
…

These type of errors that include stack traces indicate .NET Common Language Runtime (CLR) exceptions.

Even though the process was not crashing (the exception was handled), we can still use a tool called DebugDiag to create memory dumps on specific types of first chance .NET exceptions. 

This approach is only useful if the type of exception being investigated  is fairly unique for the target process.  If it’s one that frequently expected and handled in the code then many dumps would have to be produced and analyzed to find the correct instance of the problem (not good).

Using DebugDiag

For this demo I used Debug Diag 1.2 because it was handy, but there is a newer version, 2.0.

When the tool opens it will present a wizard that will help you create a new rule.   Select Crash type.  The next screen will let you choose a target type:

Fig 1: Debug diag 1.2 target type selection.  Choose A specific process

Fig 2: Select process (should have the .exe extension, unlike this)

 

Click Exceptions under Advanced Settings:

Fig 3: Advanced Configuration

On the next screen click the Add Exception button, which then shows:

Fig 4:  Configure Exception with a specific .NET Exception Type

Click on the second item in the list, CLR (.NET) 1.0 – 3.5 Exception, which fills in the hex code E0434F4D.  This code is used for all .NET exceptions for the given versions of the framework.  

The key here is filtering on the specific .NET exception type, which allows us to only trigger on System.Xml.XmlException in this case.   Then make sure the correct action type and limit is selected:  we want a full userdump with a limit of 5.

The reason I chose that exception type was it seemed to be the most specific error in the stack trace:

System.Xml.XmlException: '|', hexadecimal value 0x0B, is an invalid character. Line 1, position 63651

After confirming the selection and finishing the wizard you can enable the rule and DebugDiag will start monitoring the process for the exception type specified.    It will tell how many dumps it’s collected and where they are located on disk.  

After the collecting the data it’s important to disable the rule and also make sure Performance logging is turned off under Tools -> Options and Settings -> Performance Log

Conclusion

DebugDiag can be very useful for getting memory dumps of certain types of .NET exceptions.  The memory dumps can greatly speed up root cause analysis of the problem, allowing us to fully reproduce the behavior and validate potential workarounds and fixes. 

Just imported some job binary for normally well behaved jobs on a new DS6.9 SP6 server (on Windows 2008 R2 with SQL Server 2012) and started getting this error on tasks running embedded scripts.

Never seen this before which is odd as I've been using these job sets for years (since SP4). It's an access denied problem...  and sometimes it happens... sometimes it doesn't.

Feels like a support ticket is looming... :-(

I’ve been part of the Enterprise Vault engineering team for almost 12 years. I started way back when it was still KVS and all the engineers were based in a small office in Reading, UK.

In my time, I’ve worked across many areas of the product, but most notably with the  Exchange and OWA parts. The last couple of years have been spent in the Customer Focus Team, trying to solve those tricky issues that get spotted in the wild.

I've got a couple of posts lined up, but if there's anything you want to know more about, leave a comment and I'll see what I can do.

Attackers made the popular video site redirect users to the Sweet Orange Exploit Kit.

Wymierzona w szereg firm, głównie z sektora energetycznego, trwająca kampania szpiegostwa komputerowego umożliwiła atakującym zorganizowanie działań sabotażowych skierowanych przeciwko ich ofiarom. Agresorom, znanym firmie Symantec jako Dragonfly, udało się złamać zabezpieczenia wielu organizacji istotnych pod względem strategicznym w celu wykorzystania ich do szpiegowania. Gdyby zastosowali techniki sabotażowe, którymi dysponują, mogliby spowodować awarie lub przerwy w dostawie energii w zaatakowanych krajach.

Wśród celów Dragonfly znaleźli się operatorzy sieci energetycznych, duże elektrownie, operatorzy rurociągów naftowych oraz dostawcy sprzętu przemysłowego dla firm z branży energetycznej. Większość ofiar ma swoje siedziby w Stanach Zjednoczonych, Hiszpanii, Francji, Włoszech, Niemczech, Turcji i Polsce.

Grupa Dragonfly jest bardzo dobrze wyposażona — dysponuje szeregiem złośliwych narzędzi i może przypuszczać ataki wieloma różnymi kanałami. Najbardziej zaawansowany atak grupy doprowadził do złamania zabezpieczeń wielu dostawców sprzętu do przemysłowych systemów sterowania (industrial control system, ICS), co spowodowało zainfekowanie udostępnianego przez nich oprogramowania koniem trojańskim o dostępie zdalnym. W wyniku tego ataku firmy instalowały złośliwe oprogramowanie wraz z aktualizacjami pobieranymi na komputery obsługujące taki sprzęt. Zainfekowane komputery nie tylko zapewniły włamywaczom przyczółek w sieciach atakowanych organizacji, lecz także dostarczyły im środków umożliwiających zorganizowanie akcji sabotażowych przeciwko zainfekowanym komputerom ICS.

Ta kampania stanowi powtórzenie działań Stuxnet, pierwszej znanej dużej kampanii przeciwko systemom ICS, która korzystała ze złośliwego oprogramowania. Jednakże, podczas gdy głównym celem akcji Stuxnet było sabotowanie irańskiego programu nuklearnego, zakres działań Dragonfly jest dużo szerszy i obejmuje przede wszystkim szpiegowanie oraz możliwość stałego dostępu, a sabotaż jest jedynie możliwością opcjonalną do wykorzystania w razie potrzeby.

Poza łamaniem zabezpieczeń oprogramowania ICS do infekowania atakowanych organizacji członkowie grupy Dragonfly używają spamu rozsyłanego pocztą elektroniczną oraz ataków typu „watering hole”. Grupa korzysta z dwóch głównych złośliwych narzędzi: Backdoor.Oldrea i Trojan.Karagany. Pierwsze z nich jest najprawdopodobniej niestandardowym programem destrukcyjnym napisanym przez samych agresorów lub specjalnie dla nich.

Przed opublikowaniem informacji firma Symantec poinformowała ofiary ataków i odpowiednie władze krajowe, takie jak centra Computer Emergency Response Center (CERT), które zajmują się incydentami związanymi z bezpieczeństwem w Internecie i reagowaniem na nie.

Informacje podstawowe

Grupa Dragonfly, która przez innych dostawców jest także nazywana Energetic Bear, działa prawdopodobnie od roku 2011, a możliwe, że dużo dłużej. Na początku atakowała firmy z sektora obronnego i lotniczego w Stanach Zjednoczonych i Kanadzie, po czym na początku roku 2013 skoncentrowała się głównie na amerykańskich i europejskich firmach z branży energetycznej.

Zakres kampanii skierowanych przeciwko nim szybko się poszerzał. Najpierw grupa rozsyłała do ich pracowników złośliwe oprogramowanie w wiadomościach e-mail typu „phishing”. Następnie umieściła ataki typu „watering hole” w zainfekowanych witrynach odwiedzanych przez pracowników sektora energetycznego, które miały na celu przekierowanie ich do witryn zawierających zestaw mechanizmów wykorzystywania luk. Ten z kolei instalował destrukcyjny program na komputerach ofiar. Trzeci etap kampanii polegał na zainfekowaniu końmi trojańskimi legalnych pakietów oprogramowania udostępnianych przez trzech różnych producentów sprzętu ICS.

Grupa Dragonfly ma cechy operacji sponsorowanej przez państwo — charakteryzuje się bardzo wysokimi umiejętnościami technicznymi. Jest w stanie przypuszczać ataki wieloma kanałami i łamać przy tym zabezpieczenia wielu witryn obsługiwanych przez podmioty zewnętrzne. W długim okresie zaatakowała wiele organizacji z sektora energetycznego. Wydaje się, że jej głównym motywem jest szpiegostwo komputerowe, a konkretnym celem dodatkowym — możliwość przeprowadzania akcji sabotażowych.

Analiza sygnatur czasowych użytych przez włamywaczy kompilacji złośliwych programów wykazała, że grupa działała głównie od poniedziałku do piątku, z największą intensywnością w okresie dziewięciogodzinnym odpowiadającym godzinom pracy 9:00–16:00 w strefie czasowej UTC +4. Na tej podstawie można przyjąć, że atakujący znajdują się prawdopodobnie w Europie Wschodniej.

Rysunek 1. 10 krajów z największą liczbą aktywnych infekcji (gdzie atakujący wykradli informacje z zainfekowanych komputerów)

Użyte narzędzia

Dragonfly stosuje w swoich atakach dwa główne złośliwe programy. Oba są narzędziami do uzyskiwania dostępu zdalnego (remote access tool, RAT), które umożliwiają atakującym przejęcie kontroli nad zainfekowanymi komputerami. Ulubionym narzędziem grupy jest Backdoor.Oldrea, znany też jako Havex lub Energetic Bear RAT. Działa ono jako tylne wejście wpuszczające włamywaczy do komputera ofiary i umożliwiające im pobranie danych oraz zainstalowanie kolejnych destrukcyjnych programów.

Najprawdopodobniej jest to program niestandardowy, napisany przez samą grupę lub utworzony przez kogoś innego specjalnie dla niej. Stanowi to pewną wskazówkę świadczącą o możliwościach i zasobach, jakimi dysponuje Dragonfly.

Po zainstalowaniu na komputerze ofiary Oldrea zbiera informacje o systemie obejmujące listę plików, zainstalowane programy oraz katalog główny dostępnych napędów. Pobiera również dane z książki adresowej programu Outlook i pliki konfiguracyjne sieci VPN. Zebrane dane są zapisywane w pliku tymczasowym w formacie szyfrowanym, a następnie wysyłane do kontrolowanego przez atakujących zdalnego serwera dowodzenia i sterowania.

Większość takich serwerów jest najprawdopodobniej hostowana na zainfekowanych serwerach obsługujących systemy zarządzania treścią, co świadczy o tym, że agresorzy zapewne przejęli nad nimi kontrolę przy użyciu tych samych mechanizmów wykorzystywania luk. Oldrea ma podstawowy panel sterowania pozwalający uwierzytelnionemu użytkownikowi na pobranie skompresowanych wersji wykradzionych danych poszczególnych ofiar.

Drugim głównym narzędziem stosowanym przez Dragonfly jest Trojan.Karagany. W odróżnieniu od programu Oldrea, Karagany był już dostępny na czarnym rynku. Kod źródłowy pierwszej wersji tego programu wyciekł w 2010 roku. Według firmy Symantec grupa Dragonfly przejęła go i zmodyfikowała pod kątem swoich potrzeb. Ta wersja została wykryta przez firmę Symantec jako Trojan.Karagany!gen1.

Karagany może przesyłać wykradzione dane, pobierać nowe pliki i uruchamiać pliki wykonywalne na zainfekowanym komputerze.  Potrafi również uruchamiać dodatkowe wtyczki, służące na przykład do przechwytywania haseł, robienia zrzutów ekranu czy katalogowania dokumentów.

Firma Symantec wykryła, że większość komputerów, które padły ofiarą atakujących, została zainfekowana programem Oldrea. Program Karagany został użyty w przypadku zaledwie 5 procent infekcji. Oba programy działają podobnie i nie wiadomo, dlaczego atakujący wyraźnie chętniej korzystają z jednego z nich.

Wiele kanałów ataków

W swoich atakach na cele z branży energetycznej grupa Dragonfly stosowała co najmniej trzy taktyki infekowania. Pierwszą z nich była kampania rozsyłania spamu pocztą e-mail, w ramach której wybrani kierownicy i starsi pracownicy atakowanych firm otrzymali wiadomości zawierające zainfekowany załącznik PDF. Miały one tematy „The account” (Konto) lub „Settlement of delivery problem” (Rozwiązanie problemu z dostarczeniem) i wszystkie zostały wysłane z jednego adresu Gmail.

Kampania rozsyłania spamu zaczęła się w lutym 2013 roku i trwała do czerwca 2013 r. Firma Symantec zidentyfikowała siedem organizacji, które zostały wówczas zaatakowane. Liczba wiadomości wysyłanych do poszczególnych organizacji wahała się od jednej do 84.

Następnie atakujący skoncentrowali się na atakach typu „watering hole”. Doprowadziło to do złamania zabezpieczeń wielu witryn związanych z tematyką energetyczną i wprowadzenia w nie elementu iframe, który z kolei miał przekierowywać użytkowników do innej prawdziwej witryny o złamanych zabezpieczeniach, gdzie został umieszczony zestaw mechanizmów wykorzystywania luk Lightsout. Wykorzystuje on luki w zabezpieczeniach programów Java lub Internet Explorer w celu wprowadzenia programu Oldrea lub Karagany do komputera ofiary. Fakt, że na każdym etapie operacji atakującym udało się przejąć kontrolę nad wieloma legalnymi witrynami, jest kolejnym dowodem na ich duże możliwości techniczne.

We wrześniu 2013 r. grupa Dragonfly zaczęła korzystać z nowej wersji zestawu mechanizmów wykorzystywania luk znanej jako Hello. Jego strona docelowa zawiera kod JavaScript, który określa cechy charakterystyczne systemu przez zidentyfikowanie zainstalowanych wtyczek przeglądarki. Ofiara jest następnie przekierowywana pod adres URL, który z kolei na podstawie zebranych informacji ustala, jakiego zestawu mechanizmów wykorzystywania luk należy użyć w danym przypadku.

Oprogramowanie zainfekowane koniem trojańskim

Najbardziej zaawansowany sposób ataku stosowany przez grupę Dragonfly polegał na przejęciu kontroli nad wieloma prawidłowymi pakietami oprogramowania. Zostali zaatakowani trzej różni dostawcy sprzętu ICS — w pakiety oprogramowania udostępniane przez nich do pobrania w witrynie internetowej został wprowadzony destrukcyjny kod. Wszystkie trzy firmy produkują sprzęt stosowany w wielu sektorach przemysłu, w tym w branży energetycznej.

Pierwszym zidentyfikowanym programem zainfekowanym koniem trojańskim był produkt służący do konfigurowania dostępu przez sieć VPN do programowalnych sterowników logicznych (Programmable Logic Controller, PLC). Jego dostawca wykrył atak wkrótce po jego wystąpieniu, ale do tego czasu już 250 osób zdążyło pobrać oprogramowanie.

Drugą zaatakowaną firmą był europejski producent specjalistycznych sterowników PLC. W tym przypadku został zainfekowany pakiet oprogramowania zawierający sterownik do jednego ze sprzedawanych urządzeń. Według szacunków firmy Symantec oprogramowanie z koniem trojańskim było dostępne do pobrania co najmniej przez sześć tygodni w czerwcu i lipcu 2013 r.

Trzecią ofiarą była europejska firma produkująca systemy do zarządzania turbinami wiatrowymi, wytwórniami biogazu i inną infrastrukturą energetyczną. Według firmy Symantec zainfekowane oprogramowanie mogło być dostępne do pobrania przez około dziesięć dni w kwietniu 2014 r. 

Członkowie grupy Dragonfly mają duże umiejętności techniczne i potrafią myśleć strategicznie. Biorąc pod uwagę rozmiar niektórych atakowanych organizacji, można uznać, że grupa znalazła ich słaby punkt — złamała zabezpieczenia ich dostawców, czyli firm znacznie mniejszych i dużo słabiej chronionych.

Ochrona

Firma Symantec dysponuje następującymi metodami wykrywania, które mogą ochronić jej klientów przed złośliwym oprogramowaniem stosowanym w tych atakach:

Wykrywanie wirusów

• Backdoor.Oldrea
• Trojan.Karagany
• Trojan.Karagany!gen1

Sygnatury systemu zapobiegania włamaniom

• Ataki internetowe: zestaw mechanizmów wykorzystywania luk Lightsout
• Ataki internetowe: zestaw narzędzi Lightsout Toolkit Website 4

Więcej informacji technicznych o atakach grupy Dragonfly zawiera nasze opracowanie techniczne.