g0035-dragonfly - RunkIntel

# Dragonfly ## Visão Geral **Dragonfly** e o grupo de espionagem cibernética mais focado em infraestrutura critica de energia e sistemas de controle industrial (ICS/SCADA) atribuido ao **FSB russo - Centro 16**. Rastreado como **Energetic Bear** (CrowdStrike), **Berserk Bear**, **Ghost Blizzard** (Microsoft), **Crouching Yeti** (Kaspersky) e **Static Tundra** (CERT Polska), o grupo opera desde pelo menos 2010 e representa a principal ameaça de espionagem russa ao setor de energia global. Diferente do [[g0034-sandworm|Sandworm]] (GRU, foco em destruicao), o Dragonfly e operado pelo FSB com objetivo principal de **inteligência estratégica e posicionamento pre-conflito** - mantendo acesso silencioso a redes de energia para uso operacional futuro. Em dezembro de 2025, o CERT Polska atribuiu ao grupo ataques destrutivos contra mais de 30 parques eolicos e solares na Polonia usando o wiper **DynoWiper**, marcando uma escalada significativa para operações ativas de sabotagem. > [!danger] Ameaça Estratégica ao Setor de Energia > Dragonfly/Energetic Bear e o **único grupo com historico confirmado de comprometimento de ICS em escala global**. A filosofia de "pre-posicionamento" significa que redes comprometidas podem ser ativadas como arma em conflitos futuros. Em 2025, o grupo expandiu para sabotagem ativa de energia renovavel na Europa. > [!info] Atribuicao - FSB Centro 16 > Atribuido ao Centro 16 do FSB (Servico Federal de Segurança), responsavel por interceptação, descriptografia e processamento de comúnicacoes eletrônicas e penetracao técnica de alvos estrangeiros. Confirmado pelo UK NCSC e governo dos EUA. ## Attack Flow - Espionagem de Infraestrutura Critica ```mermaid graph TB A["Reconhecimento Supply chain + OSINT Mapeamento de ICS/SCADA"] --> B["Acesso Inicial Spear-phishing T1566.001 Drive-by T1189 Supply chain T1195.002"] B --> C["Implantação Backdoor.Oldrea Trojan.Karagany Ferramentas customizadas"] C --> D["Descoberta Rede + sistemas ICS T1016 Network Config T1083 File Discovery"] D --> E["Coleta Screen capture T1113 Archive T1560 Credenciais via Mimikatz"] E --> F["Persistência/Exfiltração Acesso de longo prazo Pre-posicionamento ou DynoWiper (2025)"] ``` ## Cronologia de Atividade ```mermaid timeline title Dragonfly - Evolução Operacional 2010 : Primeiras operacoes confirmadas : Foco em defesa e aviacao 2013 : CrowdStrike nomeia Energetic Bear : Inicio do foco em energia 2014 : 1000+ organizacoes comprometidas : 84 paises afetados 2015 : Kostovox/DYMALLOY contra parques eolicos : ICS de geração renovavel como alvo 2017 : Dragonfly 2.0 - Berserk Bear : Retomada focada em energia EUA/Europa 2018 : DHS/CISA emitem aviso critico : Companhias de energia EUA comprometidas 2020 : Exploração CVE-2020-1472 (Zerologon) : Escalada para Active Directory 2022 : Supply chain attacks em vendors ICS : Fortinet exploits para acesso inicial 2025 : DynoWiper - Polonia 30+ parques eolicos : Transicao para sabotagem ativa ``` ## Perfil Operacional O Dragonfly se distingue por sua **paciencia operacional excepcional**. O grupo compromete redes de energia e ICS meses ou anos antes de qualquer exfiltração, mantendo acesso silencioso como pre-posicionamento estratégico. Esta abordagem de "dormir na rede" torna a detecção extremamente dificil com ferramentas reativas. Tres fases distintas foram documentadas: **Fase 1 (2010-2013):** Foco em defesa e aviacao dos EUA e Canada, usando spear-phishing com malware customizado. Estabelecimento de capacidades de intrusão em setores estratégicos. **Fase 2 (2013-2017):** Transicao para energia e ICS global. Introdução de técnicas de watering hole e comprometimento de supply chain de vendors ICS. O malware [[s0093-backdooroldrea|Backdoor.Oldrea]] (Havex) foi inserido em updates legitimos de software industrial. **Fase 3 (2017-presente - Dragonfly 2.0/Berserk Bear):** Campanhas mais sofisticadas com CVE exploitation ([[cve-2020-1472|CVE-2020-1472 Zerologon]]), comprometimento de sistemas Active Directory de utilities, e em 2025, transicao para sabotagem ativa com wiper DynoWiper na Polonia. ## Arsenal Tecnico O grupo combina malware proprio com ferramentas de código aberto reaproveitadas: - **[[s0093-backdooroldrea|Backdoor.Oldrea]] (Havex):** Malware ICS proprio com capacidades de espionagem de sistemas de controle industrial - **[[s0094-trojankaragany|Trojan.Karagany]]:** RAT para exfiltração de dados e execução remota - **[[s0357-impacket|Impacket]]:** Lateral movement, credential dumping, NTDS extraction - **[[s0488-crackmapexec|CrackMapExec]]:** Active Directory exploitation - **[[mimikatz|Mimikatz]]:** Dump de credenciais LSASS - **DynoWiper (2025):** Wiper moderno implantado via PowerShell em dominio AD, alvo de controladores HMI industriais ## Técnicas Utilizadas - [[t1195-002-compromise-software-supply-chain|T1195.002 - Supply Chain Compromise]] - insercao em updates de vendors ICS - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - watering holes em sites de energia - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais comprometidas - [[t1187-forced-authentication|T1187 - Forced Authentication]] - via SMB links em .LNK - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - CVE-2020-1472 Zerologon - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - Adobe Flash CVE - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1110-002-password-cracking|T1110.002 - Password Cracking]] - [[t1608-004-drive-by-target|T1608.004 - Drive-by Target]] - [[t1583-001-domains|T1583.001 - Domains]] ## Software Utilizado - [[s0093-backdooroldrea|Backdoor.Oldrea]] - [[s0094-trojankaragany|Trojan.Karagany]] - [[s0500-mcmd|MCMD]] - [[s0357-impacket|Impacket]] - [[s0488-crackmapexec|CrackMapExec]] - [[mimikatz|Mimikatz]] - [[psexec|PsExec]] ## Relevância para o Brasil e LATAM > [!warning] Risco para Setor de Energia Brasileiro > O Brasil e a maior economia energetica da América Latina com infraestrutura critica extensa (Eletrobras, Petrobras, ANEEL). O modelo de pre-posicionamento do Dragonfly torna setores de energia, gas e petroleo brasileiros alvos de interesse estratégico para espionagem russa, especialmente dado o contexto geopolitico de commodities energeticas globais. O risco para o Brasil e moderado-alto, especialmente para: - **Operadores de energia eletrica** com sistemas SCADA/ICS (subestacoes, hidreletricas, termelétricas) - **Setor de O&G** (Petrobras, distribuidoras de gas) - **Energia renovavel** (parques eolicos e solares - conforme padrao Polonia 2025) - **Vendors de software ICS** que fornecem para utilities brasileiras (vetor de supply chain) A Embraer (defesa/aviacao), alvos historicos do grupo desde a Fase 1, permanece em risco potencial de espionagem industrial. ## Referências - MITRE ATT&CK: [G0035](https://attack.mitre.org/groups/G0035/) - CERT Polska - Static Tundra DynoWiper (Marco 2026) - DHS/CISA Alert - Berserk Bear Energy Sector (2020) - UK NCSC - Russia's FSB malign activity fact sheet - [[g0034-sandworm|Sandworm]] - grupo GRU para sabotagem ICS - [[g0007-apt28|APT28]] - grupo GRU para espionagem - [[g0010-turla|Turla]] - grupo FSB para espionagem de alto valor - [[energy|Setor de Energia]] - [[critical-infrastructure|Infraestrutura Critica]]