Image
13.12.2018 0 Comments

Vírusový radar: Autori BlackEnergy rozšírili svoj kyberšpionážny arzenál o GreyEnergy

Tvorcovia BlackEnergy, známi vysoko sofistikovanými kybernetickými útokmi, opäť rozšírili svoj arzenál. Analytici ESET VirusLabu totiž odhalili podskupinu GreyEnergy, ktorá sa zameriava na špionáž, sledovanie. Geografické zameranie má pritom podobné. V posledných troch rokoch sa totiž objavila v spojitosti s útokmi na energetické či inak kľúčové podniky na Ukrajine a v Poľsku.

Táto skupina útočníkov terorizuje našich východných susedov už roky. Okrem útokov na médiá a rôzne inštitúcie sa stala známou najmä incidentom z roku 2015, pri ktorom spôsobila niekoľkohodinový výpadok elektriny pre 230-tisíc Ukrajincov. Išlo o poslednú známu operáciu, pri ktorej sa tento škodlivý kód objavil. Po ňom skupina podľa všetkého pokračovala v minimálne dvoch menších paralelných vetvách, jednej známej ako TeleBots a druhej, nedávno odhalenej, GreyEnergy.

Meno TeleBots sa spája s doposiaľ najničivejším kybernetickým útokom v histórii (Not)Petya, ktorý v roku 2017 napáchal škody vo výške viac ako 10 miliárd amerických dolárov. Ten narušil chod viacerých globálnych firiem a ukrajinské úrady dokonca donútil predĺžiť lehotu na predloženie daňových priznaní.

Ako potvrdil nedávny výskum ESETu, skupina TeleBots je prepojená aj na škodlivý kód Industroyer. V jeho prípade ide o najsilnejší moderný škodlivý kód so zameraním na priemyselné kontrolné systémy, ktorý spôsobil výpadok elektriny v roku 2016, tentoraz v Kyjeve.

To všetko nás privádza ku GreyEnergy. Táto podskupina sa objavila približne v rovnakom čase ako TeleBots, no jej aktivity zatiaľ nespôsobili viditeľné škody. Náš výskum naznačuje, že ide o taktiku jej operátorov a snahu ostať čo najnenápadnejší.

Na infikovanie svojich obetí používala GreyEnergy zväčša dva postupy. V prvom rade cielené e-mailové správy, ktorých súčasťou boli prílohy so škodlivým makrom. Tie sa pri zapnutí snažia zo vzdialeného servera stiahnuť škodlivý kód GreyEnergy mini, ktorý nainfikovaný systém oskenuje a poskytne o ňom útočníkom detailné informácie. Na základe nich sa rozhodnú, či doň nainštalujú aj úplnú verziu GreyEnergy.

Zaujímavé je, že podľa dokumentu Microsoft Word, ktorý ESET našiel v septembri 2017, vedeli útočníci povedať, koľko potenciálnych obetí si dokument len otvorilo a koľko si v ňom aj zaplo makro a infikovalo tým dané zariadenie.

Druhou možnosťou bolo umiestniť škodlivý kód na webový server cielenej organizácie, ktorý bol verejne dostupný a zároveň pripojený na internú sieť. V prípade, že obeť objavila primárny malvér a odstránila ho, útočníci mohli využiť tento záložný infekčný kanál.

Podľa analýzy spoločnosti ESET je kód GreyEnergy príbuzný s BlackEnergy a nástrojmi TeleBots. Je rovnako modulárny, takže jeho reálna funkcionalita závisí od toho, akú kombináciu modulov sa útočník rozhodne nahrať do systémov obete. Bezpečnostné riešenie spoločnosti ESET všetky tieto kódy deteguje a chráni pred nimi.

Moduly plnia špionážne a sledovacie ciele a dokážu extrahovať súbory, vytvárať screenshoty a backdoory, zaznamenávať stlačené klávesy, kradnúť heslá, prístupové a ďalšie údaje. Minimálne v jednom prípade však útočníci použili aj komponent určený na premazávanie diskov, ktorý im slúžil na narušenie fungovania cielenej organizácie a zametenie vlastných stôp.

Čo sme zatiaľ nevideli a čím sa GreyEnergy líši od malvéru Industroyer, sú moduly zamerané na softvér a zariadenia priemyselných kontrolných systémov. Zaznamenali sme však, že sa táto skupina strategicky zamerala na sledovanie kontrolných staníc bežiacich na softvéri a serveroch SCADA.

Kompletnú analýzu GreyEnergy si môžete prečítať v našom whitepaperi na stránke WeLiveSecurity.com.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Základ úspešného DMS? Efektívna digitalizácia!

12.11.2019 14:22

Špeciálny projekt Správa dokumentov, papierových i elektronických, je jedna zo základných agend každej organizácie. V prípade digitálnych dokumentov uľahčujú potrebné procesy takzvané systémy DMS (Do ...

ITPro

Čo je to lidaretto?

14.11.2019 00:10

Špeciálny projekt Lidaretto je malý mobilný laserový skener, nazývaný aj lidar, vyrobený na Slovensku. Vďaka jeho kompaktným rozmerom a hmotnosti len asi 1,5 kg ho možno použiť na viacerých mobilných ...

ITPro

IT Pro: DNS cez HTTPS – budúcnosť súkromia na webe

08.11.2019 00:00

Dnes je šifrované spojenie na internete cez HTTPS štandardom (veríme, že rozumní administrátori toto považujú za skutočný základ) – toto šifrovanie totiž pomáha chrániť citlivé informácie prenášané c ...

Žiadne komentáre

Vyhľadávanie

Brother_300x600

Najnovšie videá