Image
13.12.2018 0 Comments

Vírusový radar: Autori BlackEnergy rozšírili svoj kyberšpionážny arzenál o GreyEnergy

Tvorcovia BlackEnergy, známi vysoko sofistikovanými kybernetickými útokmi, opäť rozšírili svoj arzenál. Analytici ESET VirusLabu totiž odhalili podskupinu GreyEnergy, ktorá sa zameriava na špionáž, sledovanie. Geografické zameranie má pritom podobné. V posledných troch rokoch sa totiž objavila v spojitosti s útokmi na energetické či inak kľúčové podniky na Ukrajine a v Poľsku.

Táto skupina útočníkov terorizuje našich východných susedov už roky. Okrem útokov na médiá a rôzne inštitúcie sa stala známou najmä incidentom z roku 2015, pri ktorom spôsobila niekoľkohodinový výpadok elektriny pre 230-tisíc Ukrajincov. Išlo o poslednú známu operáciu, pri ktorej sa tento škodlivý kód objavil. Po ňom skupina podľa všetkého pokračovala v minimálne dvoch menších paralelných vetvách, jednej známej ako TeleBots a druhej, nedávno odhalenej, GreyEnergy.

Meno TeleBots sa spája s doposiaľ najničivejším kybernetickým útokom v histórii (Not)Petya, ktorý v roku 2017 napáchal škody vo výške viac ako 10 miliárd amerických dolárov. Ten narušil chod viacerých globálnych firiem a ukrajinské úrady dokonca donútil predĺžiť lehotu na predloženie daňových priznaní.

Ako potvrdil nedávny výskum ESETu, skupina TeleBots je prepojená aj na škodlivý kód Industroyer. V jeho prípade ide o najsilnejší moderný škodlivý kód so zameraním na priemyselné kontrolné systémy, ktorý spôsobil výpadok elektriny v roku 2016, tentoraz v Kyjeve.

To všetko nás privádza ku GreyEnergy. Táto podskupina sa objavila približne v rovnakom čase ako TeleBots, no jej aktivity zatiaľ nespôsobili viditeľné škody. Náš výskum naznačuje, že ide o taktiku jej operátorov a snahu ostať čo najnenápadnejší.

Na infikovanie svojich obetí používala GreyEnergy zväčša dva postupy. V prvom rade cielené e-mailové správy, ktorých súčasťou boli prílohy so škodlivým makrom. Tie sa pri zapnutí snažia zo vzdialeného servera stiahnuť škodlivý kód GreyEnergy mini, ktorý nainfikovaný systém oskenuje a poskytne o ňom útočníkom detailné informácie. Na základe nich sa rozhodnú, či doň nainštalujú aj úplnú verziu GreyEnergy.

Zaujímavé je, že podľa dokumentu Microsoft Word, ktorý ESET našiel v septembri 2017, vedeli útočníci povedať, koľko potenciálnych obetí si dokument len otvorilo a koľko si v ňom aj zaplo makro a infikovalo tým dané zariadenie.

Druhou možnosťou bolo umiestniť škodlivý kód na webový server cielenej organizácie, ktorý bol verejne dostupný a zároveň pripojený na internú sieť. V prípade, že obeť objavila primárny malvér a odstránila ho, útočníci mohli využiť tento záložný infekčný kanál.

Podľa analýzy spoločnosti ESET je kód GreyEnergy príbuzný s BlackEnergy a nástrojmi TeleBots. Je rovnako modulárny, takže jeho reálna funkcionalita závisí od toho, akú kombináciu modulov sa útočník rozhodne nahrať do systémov obete. Bezpečnostné riešenie spoločnosti ESET všetky tieto kódy deteguje a chráni pred nimi.

Moduly plnia špionážne a sledovacie ciele a dokážu extrahovať súbory, vytvárať screenshoty a backdoory, zaznamenávať stlačené klávesy, kradnúť heslá, prístupové a ďalšie údaje. Minimálne v jednom prípade však útočníci použili aj komponent určený na premazávanie diskov, ktorý im slúžil na narušenie fungovania cielenej organizácie a zametenie vlastných stôp.

Čo sme zatiaľ nevideli a čím sa GreyEnergy líši od malvéru Industroyer, sú moduly zamerané na softvér a zariadenia priemyselných kontrolných systémov. Zaznamenali sme však, že sa táto skupina strategicky zamerala na sledovanie kontrolných staníc bežiacich na softvéri a serveroch SCADA.

Kompletnú analýzu GreyEnergy si môžete prečítať v našom whitepaperi na stránke WeLiveSecurity.com.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Huawei Eco-Connect Europe 2018: AI, IoT a 5G prinesú Európe smart budúcnosť

13.12.2018 10:55

V talianskom Ríme sa 8. a 9. novembra 2018 uskutočnila výročná akcia Huawei Eco-Connect Europe, na ktorej spoločnosť Huawei predstavila svoju stratégiu Platform + Ecosystem, ktorá zobrazuje komplexný ...

ITPro

DMS naozaj pomáhajú

13.12.2018 10:44

V súvislosti s podnikovou informačnou architektúrou sa stále častejšie hovorí o tzv. systémoch DMS. Skratka DMS pochádza z anglického Document Management System a zastrešuje aplikácie, ktoré predstavu ...

ITPro

VMworld 2018: Budúcnosť je v softvéri

14.12.2018 10:18

Barcelona privítala 12 000 účastníkov jubilejného 10. ročníka konferencie VMworld. Katalánska metropola hostí toto podujatie už sedem rokov po sebe. Motto podujatia by sa dalo zjednodušene vyjadriť ak ...

q

Žiadne komentáre

Vyhľadávanie

Najnovšie videá



PC forum button