Image
13.12.2018 0 Comments

Vírusový radar: Autori BlackEnergy rozšírili svoj kyberšpionážny arzenál o GreyEnergy

Tvorcovia BlackEnergy, známi vysoko sofistikovanými kybernetickými útokmi, opäť rozšírili svoj arzenál. Analytici ESET VirusLabu totiž odhalili podskupinu GreyEnergy, ktorá sa zameriava na špionáž, sledovanie. Geografické zameranie má pritom podobné. V posledných troch rokoch sa totiž objavila v spojitosti s útokmi na energetické či inak kľúčové podniky na Ukrajine a v Poľsku.

Táto skupina útočníkov terorizuje našich východných susedov už roky. Okrem útokov na médiá a rôzne inštitúcie sa stala známou najmä incidentom z roku 2015, pri ktorom spôsobila niekoľkohodinový výpadok elektriny pre 230-tisíc Ukrajincov. Išlo o poslednú známu operáciu, pri ktorej sa tento škodlivý kód objavil. Po ňom skupina podľa všetkého pokračovala v minimálne dvoch menších paralelných vetvách, jednej známej ako TeleBots a druhej, nedávno odhalenej, GreyEnergy.

Meno TeleBots sa spája s doposiaľ najničivejším kybernetickým útokom v histórii (Not)Petya, ktorý v roku 2017 napáchal škody vo výške viac ako 10 miliárd amerických dolárov. Ten narušil chod viacerých globálnych firiem a ukrajinské úrady dokonca donútil predĺžiť lehotu na predloženie daňových priznaní.

Ako potvrdil nedávny výskum ESETu, skupina TeleBots je prepojená aj na škodlivý kód Industroyer. V jeho prípade ide o najsilnejší moderný škodlivý kód so zameraním na priemyselné kontrolné systémy, ktorý spôsobil výpadok elektriny v roku 2016, tentoraz v Kyjeve.

To všetko nás privádza ku GreyEnergy. Táto podskupina sa objavila približne v rovnakom čase ako TeleBots, no jej aktivity zatiaľ nespôsobili viditeľné škody. Náš výskum naznačuje, že ide o taktiku jej operátorov a snahu ostať čo najnenápadnejší.

Na infikovanie svojich obetí používala GreyEnergy zväčša dva postupy. V prvom rade cielené e-mailové správy, ktorých súčasťou boli prílohy so škodlivým makrom. Tie sa pri zapnutí snažia zo vzdialeného servera stiahnuť škodlivý kód GreyEnergy mini, ktorý nainfikovaný systém oskenuje a poskytne o ňom útočníkom detailné informácie. Na základe nich sa rozhodnú, či doň nainštalujú aj úplnú verziu GreyEnergy.

Zaujímavé je, že podľa dokumentu Microsoft Word, ktorý ESET našiel v septembri 2017, vedeli útočníci povedať, koľko potenciálnych obetí si dokument len otvorilo a koľko si v ňom aj zaplo makro a infikovalo tým dané zariadenie.

Druhou možnosťou bolo umiestniť škodlivý kód na webový server cielenej organizácie, ktorý bol verejne dostupný a zároveň pripojený na internú sieť. V prípade, že obeť objavila primárny malvér a odstránila ho, útočníci mohli využiť tento záložný infekčný kanál.

Podľa analýzy spoločnosti ESET je kód GreyEnergy príbuzný s BlackEnergy a nástrojmi TeleBots. Je rovnako modulárny, takže jeho reálna funkcionalita závisí od toho, akú kombináciu modulov sa útočník rozhodne nahrať do systémov obete. Bezpečnostné riešenie spoločnosti ESET všetky tieto kódy deteguje a chráni pred nimi.

Moduly plnia špionážne a sledovacie ciele a dokážu extrahovať súbory, vytvárať screenshoty a backdoory, zaznamenávať stlačené klávesy, kradnúť heslá, prístupové a ďalšie údaje. Minimálne v jednom prípade však útočníci použili aj komponent určený na premazávanie diskov, ktorý im slúžil na narušenie fungovania cielenej organizácie a zametenie vlastných stôp.

Čo sme zatiaľ nevideli a čím sa GreyEnergy líši od malvéru Industroyer, sú moduly zamerané na softvér a zariadenia priemyselných kontrolných systémov. Zaznamenali sme však, že sa táto skupina strategicky zamerala na sledovanie kontrolných staníc bežiacich na softvéri a serveroch SCADA.

Kompletnú analýzu GreyEnergy si môžete prečítať v našom whitepaperi na stránke WeLiveSecurity.com.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Made in Slovakia / Predstavujeme zaujímavé produkty, projekty a startupy

14.07.2019 10:53

Už takmer rok uverejňujeme v tejto rubrike úspešné IT produkty a IT projekty, semifinalistov súťaže z roku 2018, ktorej vyhodnotenie sa uskutočnilo vlani na jeseň na slávnostnom večeri IT GALA 2018. V ...

ITPro

Praktická kryptológia (26. časť) / Hašovacie nástroje

07.08.2019 06:15

V tejto časti seriálu vám v stručnosti predstavíme dva známe a veľmi často používané kryptografické nástroje, ktoré okrem iného ponúkajú možnosť výpočtu resumé správ, resp. hašov. Prvý z nich je robus ...

ITPro

Linux súkromne i pracovne v2.0 (41. časť) / Git branching a merging

03.08.2019 00:00

V tejto časti seriálu doplníme základné informácie týkajúce sa systému git o časti, ktoré majú súvis s aplikáciou vetvenia a spájania vývojových vetiev (línií). Budeme sa venovať obsahu git repozitáro ...

q

Žiadne komentáre

Vyhľadávanie

eFocus_2019

Najnovšie videá