Förändrade mönster i energibolagets nätverkstrafik gjorde att säkerhetsföretaget Recorded Future upptäckte attacken, rapporterar Zdnet.

Mjukvaran som används kallas Pupyrat och är ett spionvirus som i tidigare attacker kopplats till Iran. Det kan infiltrera Windows, Linux, OSX och Android och ge angriparna tillgång till systemet där de kan komma över användarnamn, lösenord och annan känslig information i nätverket.

Attacken pågick i nära tre månader – från november förra året till det att den stoppades nu i januari vilket innebär att den började innan spänningarna i Mellanöstern eskalerade i spåren av USA:s drönarattack mot den iranska generalen Soleimani.

Exakt hur intrånget gått till är oklart men forskarna misstänker att det handlar om en så kallad spear phishingattack, det vill säga en attack inriktad på specifika personer, ofta i ledningsskiktet. Det kan handla om att först vinna någons förtroende innan man skickar över ett virusinfekterat dokument.

Energibolag är ett hett byte för cyberangripare och i ett inlägg där Recorded Future beskriver attacken ger man också råd om hur de ska förhindras – bland annat råder de till att tvåfaktorsautentisering införs och att man ser till att lösenorden är komplexa och att samma lösenord inte används i flera system.

Läs också:
Iran lösenordssprejar samhällskritisk infrastruktur i USA
Nu stärker företagen sitt skydd – cyberförsäkringar exploderar