Image
13.12.2018 0 Comments

Vírusový radar: Autori BlackEnergy rozšírili svoj kyberšpionážny arzenál o GreyEnergy

Tvorcovia BlackEnergy, známi vysoko sofistikovanými kybernetickými útokmi, opäť rozšírili svoj arzenál. Analytici ESET VirusLabu totiž odhalili podskupinu GreyEnergy, ktorá sa zameriava na špionáž, sledovanie. Geografické zameranie má pritom podobné. V posledných troch rokoch sa totiž objavila v spojitosti s útokmi na energetické či inak kľúčové podniky na Ukrajine a v Poľsku.

Táto skupina útočníkov terorizuje našich východných susedov už roky. Okrem útokov na médiá a rôzne inštitúcie sa stala známou najmä incidentom z roku 2015, pri ktorom spôsobila niekoľkohodinový výpadok elektriny pre 230-tisíc Ukrajincov. Išlo o poslednú známu operáciu, pri ktorej sa tento škodlivý kód objavil. Po ňom skupina podľa všetkého pokračovala v minimálne dvoch menších paralelných vetvách, jednej známej ako TeleBots a druhej, nedávno odhalenej, GreyEnergy.

Meno TeleBots sa spája s doposiaľ najničivejším kybernetickým útokom v histórii (Not)Petya, ktorý v roku 2017 napáchal škody vo výške viac ako 10 miliárd amerických dolárov. Ten narušil chod viacerých globálnych firiem a ukrajinské úrady dokonca donútil predĺžiť lehotu na predloženie daňových priznaní.

Ako potvrdil nedávny výskum ESETu, skupina TeleBots je prepojená aj na škodlivý kód Industroyer. V jeho prípade ide o najsilnejší moderný škodlivý kód so zameraním na priemyselné kontrolné systémy, ktorý spôsobil výpadok elektriny v roku 2016, tentoraz v Kyjeve.

To všetko nás privádza ku GreyEnergy. Táto podskupina sa objavila približne v rovnakom čase ako TeleBots, no jej aktivity zatiaľ nespôsobili viditeľné škody. Náš výskum naznačuje, že ide o taktiku jej operátorov a snahu ostať čo najnenápadnejší.

Na infikovanie svojich obetí používala GreyEnergy zväčša dva postupy. V prvom rade cielené e-mailové správy, ktorých súčasťou boli prílohy so škodlivým makrom. Tie sa pri zapnutí snažia zo vzdialeného servera stiahnuť škodlivý kód GreyEnergy mini, ktorý nainfikovaný systém oskenuje a poskytne o ňom útočníkom detailné informácie. Na základe nich sa rozhodnú, či doň nainštalujú aj úplnú verziu GreyEnergy.

Zaujímavé je, že podľa dokumentu Microsoft Word, ktorý ESET našiel v septembri 2017, vedeli útočníci povedať, koľko potenciálnych obetí si dokument len otvorilo a koľko si v ňom aj zaplo makro a infikovalo tým dané zariadenie.

Druhou možnosťou bolo umiestniť škodlivý kód na webový server cielenej organizácie, ktorý bol verejne dostupný a zároveň pripojený na internú sieť. V prípade, že obeť objavila primárny malvér a odstránila ho, útočníci mohli využiť tento záložný infekčný kanál.

Podľa analýzy spoločnosti ESET je kód GreyEnergy príbuzný s BlackEnergy a nástrojmi TeleBots. Je rovnako modulárny, takže jeho reálna funkcionalita závisí od toho, akú kombináciu modulov sa útočník rozhodne nahrať do systémov obete. Bezpečnostné riešenie spoločnosti ESET všetky tieto kódy deteguje a chráni pred nimi.

Moduly plnia špionážne a sledovacie ciele a dokážu extrahovať súbory, vytvárať screenshoty a backdoory, zaznamenávať stlačené klávesy, kradnúť heslá, prístupové a ďalšie údaje. Minimálne v jednom prípade však útočníci použili aj komponent určený na premazávanie diskov, ktorý im slúžil na narušenie fungovania cielenej organizácie a zametenie vlastných stôp.

Čo sme zatiaľ nevideli a čím sa GreyEnergy líši od malvéru Industroyer, sú moduly zamerané na softvér a zariadenia priemyselných kontrolných systémov. Zaznamenali sme však, že sa táto skupina strategicky zamerala na sledovanie kontrolných staníc bežiacich na softvéri a serveroch SCADA.

Kompletnú analýzu GreyEnergy si môžete prečítať v našom whitepaperi na stránke WeLiveSecurity.com.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Začiatky BIG DATA

06.03.2019 13:24

Od autonómnych áut po odhaľovanie podvodov - BIG DATA v T-Systems Slovakia V roku 1663 sa obchodník s galantériou John Graunt rozhodol zaznamenávať štatistiky týkajúce sa verejného zdravia v Londýne. ...

ITPro

Od Excelu k výkonnému podnikovému informačnému systému ODOO

05.03.2019 13:20

Jeden z kľúčových atribútov úspešnosti firmy (ak nie ten najdôležitejší) sú zákazníci. Spokojní zákazníci, ktorí budú znovu využívať vaše služby a kupovať vaše produkty. Preto systém IT podpory vzťaho ...

ITPro

Predstavujeme zaujímavé produkty, projekty a startupy

06.03.2019 13:12

IT PRODUKT: Slido Webová aplikácia Slido sa zameriava na interakciu s publikom počas podujatí alebo mítingov. Otvára priestor pre organizátorov, aby už aj počas vystúpenia rečníkov mohli zbierať otáz ...

q

Žiadne komentáre

Vyhľadávanie

SWIFT 5_032019

Najnovšie videá

IT medzi paragrafmi


PC forum button