Dragonfly — одне з найбільш відомих російських APT-угруповань, яке протягом багатьох років зосереджує свою діяльність на енергетичному секторі та системах промислового управління.

У новому звіті ми розглянули історію групи, її інструментарій, відомі операції та зв’язки з російськими державними структурами. Окрему увагу приділено кампаніям проти енергетичних компаній США та атаці на Wolf Creek Nuclear Operating Corporation.

Цей кейс цікавий тим, що демонструє характерну для державних APT-груп модель роботи. Метою операцій часто є не швидкий результат, а тривале накопичення доступів, збір облікових даних, вивчення мереж та пошук шляхів до критичних систем. У випадку Dragonfly йдеться про багаторічну діяльність, спрямовану на середовища, пов’язані з ICS та SCADA.

У звіті також проаналізовано відомих учасників угруповання, інфраструктуру атак, використане шкідливе програмне забезпечення та тактики, класифіковані за методологією MITRE ATT&CK.