Grupul GreyEnergy, ce are ca țintă sistemele de infrastructură critică, ar putea pregăti noi atacuri periculoase

2018-10-19

Cercetătorii ESET au descoperit un succesor al cunoscutului grup APT BlackEnergy - Pe urmele unei temute amenințări, cu un nou arsenal de instrumente 

ESET a dezvăluit detalii despre un succesor al grupării APT (Advanced Persistent Threat) - BlackEnergy. Numit GreyEnergy de către ESET, acest vector de amenințare se concentrează pe misiuni de recunoaștere și spionaj, de care s-ar putea folosi în pregătirea unor viitoare atacuri de sabotaj cibernetic.

Gruparea BlackEnergy a înspăimântat Ucraina timp de ani de zile și a devenit cunoscută în decembrie 2015, când a provocat o pană de curent ce a lăsat 230 de mii de oameni fără energie electrică, marcând primul eveniment de acest tip, cauzat de un atac cibernetic. În aceeași perioadă în care a avut loc acest incident, cercetătorii ESET începeau să detecteze un alt framework malware, pe care l-au numit GreyEnergy.

„GreyEnergy a fost implicat în atacuri direcționate spre companii energetice și alte ținte importante din Ucraina și Polonia în ultimii trei ani", declară Anton Cherepanov, Senior Security Researcher la ESET, cel care a condus această investigație.

Atacul din 2015 asupra infrastructurii energetice ucrainene a fost cea mai recentă operațiune în care a fost utilizat arsenalul de instrumente deținut de BlackEnergy. Ulterior, cercetătorii ESET au adus informații despre un nou subgrup APT, TeleBots.

TeleBots este cunoscut pentru izbucnirea globală a malware-ului NotPetya, capabil să șteargă discul unui PC. Acest software a afectat operațiuni globale de afaceri în 2017 și a provocat daune în valoare de miliarde de dolari americani. Cercetătorii ESET au confirmat recent că TeleBots are legătură și cu Industroyer, cel mai puternic malware modern care vizează sistemele de control industrial, și este vinovatul din spatele celei de-a doua pene de curent din capitala Ucrainei, Kiev, în 2016.

„GreyEnergy a ieșit la lumină odată cu TeleBots, dar spre deosebire de cel din urmă, care este mai cunoscut, operațiunile GreyEnergy nu se limitează doar la Ucraina și nu au generat până acum pagube. În mod clar, vor să zboare pe sub radar", spune Anton Cherepanov.

Conform analizei aprofundate a ESET, malware-ul GreyEnergy este strâns legat de malware-ul BlackEnergy și de TeleBots. Acesta dispune de o structură formată din mai multe module, astfel încât funcționalitatea sa să depindă de o combinație specifică de module pe care operatorul să o încarce în sistemele victimei.

Modulele descrise în analiza ESET au fost utilizate în scopuri de spionaj și de recunoaștere și includ: backdoor, extragerea de fișiere, capturarea de screenshot-uri, keylogging, parolă și furtul de credențiale etc.

„Nu am remarcat niciun modul care să vizeze în mod specific software-urile sau dispozitivele sistemelor de control industrial. Cu toate acestea, am observat că operatorii GreyEnergy au vizat strategic stațiile de control ICS, care rulează software și servere SCADA", explică Anton Cherepanov.

Această dezvăluire și cercetarea efectuată de ESET despre GreyEnergy sunt importante pentru o protecție eficientă împotriva acestui vector de amenințare, precum și pentru o mai bună înțelegere a tacticilor, instrumentelor și procedurilor întreprinse de cele mai avansate grupuri APT.

Mai multe detalii se găsesc pe blogul ESET și în lucrarea de cercetare.