Image
18.10.2018 0 Comments

Nástupca obávanej kybernetickej skupiny BlackEnergy zjavne plánuje nové ničivé útoky

ESET odhalil podrobnosti o nástupcovi kybernetickej skupiny BlackEnergy. Skupina GrayEnergy, ktorú takto pomenoval ESET, sa zameriava na špionáž, sledovanie a zjavne sa pripravuje na ďalšie kybernetické útoky.

Skupina BlackEnergy terorizovala Ukrajinu už roky. Svoj význam zvýšila v decembri 2015, kedy spôsobila prvý výpadok elektrickej energie zapríčinený kybernetickým útokom a ktorý nechal 230-tisíc ľudí bez elektrickej energie. Po tomto útoku sa skupina BlackEnergy rozdelila do minimálne dvoch podskupín ako TeleBots a GreyEnergy.

Útok na ukrajinskú energetickú infraštruktúru v roku 2015 bol zatiaľ poslednou známou operáciou, pri ktorej bol škodlivý kód BlackEnergy použitý. Nová podskupina s názvom TeleBots je známa pre globálny dopad škodlivého kódu NotPetya, ktorý v roku 2017 premazával obsah napadnutých zariadení, narušil chod globálnych firiem a spôsobil škody v hodnote miliárd dolárov. Skupina TeleBots je prepojená aj na Industroyer, najsilnejší moderný škodlivý kód zameriavajúci sa na priemyselné kontrolné systémy, ktorý je za výpadkom elektrickej energie v roku 2016, tentoraz v hlavnom meste Ukrajiny, v Kyjeve.

Na infikovanie svojich obetí použila skupina GreyEnergy zväčša dva spôsoby. Išlo primárne o cielené phishingové e-mailové správy, ktorých súčasťou boli škodlivé prílohy. Ak mala dotknutá organizácia verejný webový server pripojený aj na internú sieť, útočníci naň mohli nahrať záložný škodlivý kód. Ten by využili, ak by obeť primárny škodlivý kód našla a odstránila.

Príloha phishingových správ obsahovala škodlivé makro, ktoré sa pri zapnutí snaží zo vzdialeného servera stiahnuť kód. Obeť sa infikuje zatiaľ len škodlivým kódom GreyEnergy mini, ktorého úlohou je vykonať prvotné zhodnotenie infikovaného systému. Na základe týchto informácií sa útočníci môžu rozhodnúť, či systém infikujú plnou verziou GreyEnergy. Zaujímavosťou je, že podľa Microsoft Word dokumentu, vedeli útočníci o tom, koľko potenciálnych obetí si dokument len otvorilo a koľko si v ňom reálne zaplo makro a infikovalo tak dané zariadenie.

Podľa analýzy je škodlivý kód GreyEnergy príbuzný ako so škodlivým kódom BlackEnergy tak aj so škodlivým kódom TeleBots. Je modulárny, takže jeho reálna funkcionalita sa odvíja od toho, akú kombináciu modulov sa útočník rozhodne nahrať do systémov infikovanej obete.  

Moduly opísané v analýze boli použité na špionážne a sledovacie účely, medzi ich funkcie patrili napríklad: extrakcia súborov, vytváranie screenshotov, vytváranie zadných vrátok, zaznamenávanie stlačených kláves, kradnutie hesiel a prístupových údajov a ďalšie. V minimálne jednom prípade útočníci využili na narušenie procesov svojho cieľa a taktiež na zametenie vlastných stôp komponent určený na premazanie diskov.

Kompletnú analýzu GreyEnergy nájdete v dokumente „GreyEnergy: A successor to BlackEnergy“.

Zobrazit Galériu
Autor: ESET

Nechajte si posielať prehľad najdôležitejších správ emailom

Bezpečnosť

Americká polícia využíva údaje z histórie polohy Googlu na chytanie zločincov

17.04.2019 00:25

Nie je žiadne tajomstvo, že Google vás sleduje všade, aj keď máte funkciu História polohy vypnutú. Aj iné aplikácie, ako sú Mapy Google či služba dennej aktualizácie počasia pre Android, umožňujú tech ...

Bezpečnosť

Video: Autonómne autá budú zvládať aj rýchlu jazdu na ľade a snehu

04.04.2019 00:15

Výskumníci zo Stanfordovej univerzity vyvíjajú nové riadiace systémy pre autonómne vozidlá, aby sa mohli bezpečnejšie pohybovať v ťažkých podmienkach, napríklad po zľadovatených cestách. Nové systémy ...

Bezpečnosť 2

Diaľkové ovládanie pre autonómne autá, ktoré sa dostanú do ťažkostí. Keď zlyhá softvér, zasiahne teleoperátor

03.04.2019 00:25

Ani tie najpokročilejšie autonómne autá ešte dnes nemôžu jazdiť na cestách tak pohodlne ako ľudskí vodiči. Možno po diaľnici by to ešte šlo, ale takéto vozidlá zápasia s nepriaznivým počasím, problémy ...

q

Žiadne komentáre

FORPSI 042019

Videá

IXPO 2019


PC forum button