Este alerta técnico é resultado de esforços analíticos entre o Department of Homeland Security (DHS) e o Federal Bureau of Investigation (FBI). O alerta fornece informações sobre ações do governo russo que visam entidades do governo dos EUA, bem como organizações nos setores de energia, nuclear, instalações comerciais, água, aviação e setores críticos de manufatura. Ele também contém indicadores de comprometimento e detalhes técnicos sobre as táticas, técnicas e procedimentos usados pelos investigadores do governo russo em redes de vítimas comprometidas.
O DHS e o FBI produziram esse alerta para instruir os responsáveis das redes a melhorar sua capacidade de identificar e reduzir a exposição a atividades maliciosas. Além disso, caracterizam essa atividade como uma campanha de invasão de vários estágios por parte de investigadores do governo russo, que atacavam redes de pequenas instalações comerciais onde eles desenvolviam malware, realizavam spear phishing e obtinham acesso remoto a redes do setor energético.
Depois de obter acesso, os agentes cibernéticos do governo russo conduziram reconhecimento de rede, coletando informações relativas aos Sistemas de Controle Industrial.
Desde março de 2016, os agentes cibernéticos do governo russo têm como alvo entidades governamentais e vários setores de infraestrutura crítica dos EUA.
A análise realizada pelo DHS e pelo FBI resultou na identificação de indicadores e comportamentos distintos relacionados a essa atividade. É importante ressaltar que o relatório Dragonfly: setor de energia ocidental, alvo de um sofisticado grupo de ataque, divulgado pela Symantec em 6 de setembro de 2017, fornece informações adicionais sobre essa campanha em andamento.
As vítimas iniciais são organizações, como fornecedores terceirizados confiáveis com redes menos seguras, chamadas de “alvos de preparação”. Os agentes de ameaças usaram as redes de alvos como pontos de pivô e repositórios de malware para atingir suas vítimas finais pretendidas. O NCCIC e o FBI julgam que o objetivo final dos agentes é comprometer as redes organizacionais, também conhecidas como “alvo pretendido”.