Οι ερευνητές της ESET αποκαλύπτουν διάδοχο της ομάδας APT BlackEnergy – Ακολουθεί τα βήματα της τρομερής ομάδας κακόβουλων δραστών, με ένα νέο οπλοστάσιο εργαλείων
Η ESET έδωσε στη δημοσιότητα λεπτομέρειες για ένα διάδοχο της ομάδας κυβερνοεγκληματιών APT BlackEnergy. Ο συγκεκριμένος κακόβουλος δράστης, που η ESET ονόμασε GreyEnergy, έχει επικεντρωθεί σε ενέργειες κατασκοπείας και υποκλοπών, προετοιμάζοντας ενδεχομένως μελλοντικές επιθέσεις στον κυβερνοχώρο.
Η ομάδα BlackEnergy τρομοκρατούσε την Ουκρανία για χρόνια με αποκορύφωμα το Δεκέμβριο του 2015, όταν προκάλεσε μπλακάουτ αφήνοντας 230 χιλιάδες ανθρώπους χωρίς ηλεκτρικό ρεύμα, στην πρώτη διακοπή ρεύματος από κυβερνοεπίθεση που έχει καταγραφεί παγκοσμίως. Την εποχή εκείνη, οι ερευνητές της ESET άρχισαν να εντοπίζουν κι ένα άλλο πλαίσιο ανάπτυξης κακόβουλου λογισμικού, ονομάζοντάς το GreyEnergy.
«Τα τελευταία τρία χρόνια έχουμε δει την ομάδα GreyEnergy να εμπλέκεται σε επιθέσεις εναντίον εταιριών ενέργειας και άλλων στόχων υψηλού προφίλ στην Ουκρανία και την Πολωνία», σημειώνει ο Anton Cherepanov, Senior Security Researcher της ESET και επικεφαλής της έρευνας.
Η επίθεση στις ουκρανικές ενεργειακές υποδομές το 2015 αποτελεί την τελευταία γνωστή επιχείρηση, όπου χρησιμοποιήθηκε η εργαλειοθήκη της ομάδας BlackEnergy. Στη συνέχεια, οι ερευνητές της ESET κατέγραψαν τη δράση της TeleBots, μιας νέας υπο-ομάδας APT.
Η ομάδα TeleBots είναι κυρίως γνωστή για το παγκόσμιο ξέσπασμα του NotPetya, που, κρυπτογραφώντας δίσκους συστημάτων, παρέλυσε τις επιχειρησιακές δραστηριότητες σε όλο τον κόσμο το 2017, προκαλώντας ζημιές δισεκατομμυρίων δολαρίων στις ΗΠΑ. Όπως επιβεβαίωσαν πρόσφατα οι ερευνητές της ESET, η ομάδα TeleBots συνδέεται επίσης με το Industroyer, το πιο ισχυρό σύγχρονο malware που στοχεύει στα βιομηχανικά συστήματα ελέγχου και βρίσκεται πίσω από τη δεύτερη διακοπή ηλεκτρικού ρεύματος που σημειώθηκε στην πρωτεύουσα της Ουκρανίας, Κίεβο, το 2016.
«Η ομάδα GreyEnergy εμφανίστηκε παράλληλα με την TeleBots, αλλά, σε αντίθεση με αυτή, οι δραστηριότητες της δεν περιορίζονται στην Ουκρανία και μέχρι στιγμής δεν είναι καταστροφικές. Είναι σαφές ότι θέλουν να κρατήσουν χαμηλό προφίλ» σχολιάζει ο Anton Cherepanov.
Σύμφωνα με την εμπεριστατωμένη ανάλυση της ESET, το κακόβουλο λογισμικό της GreyEnergy συνδέεται στενά με το κακόβουλο λογισμικό της BlackEnergy και της TeleBots. Λόγω της «modular» φύσης του, η λειτουργικότητά του εξαρτάται από το πώς θα συνδυάσει ο χειριστής τα επιμέρους δομικά στοιχεία (modules) πριν το εγκαταστήσει στα IT συστήματα του θύματος.
Τα modules που περιγράφονται στην ανάλυση της ESET χρησιμοποιήθηκαν για κατασκοπεία και υποκλοπές και περιλαμβάνουν: backdoor, εξαγωγή αρχείων, λήψη στιγμιότυπων οθόνης, keylogging, κλοπή κωδικών και διαπιστευτηρίων κλπ.
«Δεν έχουμε εντοπίσει modules που να στοχεύουν ειδικά σε λογισμικό ή συσκευές βιομηχανικών συστημάτων ελέγχου. Ωστόσο, παρατηρήσαμε ότι οι χειριστές της GreyEnergy έχουν στρατηγικά στοχεύσει ενάντια σε σταθμούς εργασίας ICS που χρησιμοποιούν λογισμικό και διακομιστές SCADA» εξηγεί ο Anton Cherepanov.
Οι αποκαλύψεις και οι αναλύσεις της ESET για την ομάδα GreyEnergy ενισχύουν σημαντικά το ποσοστό επιτυχίας των αμυντικών τεχνικών εναντίον της συγκεκριμένης απειλής, καθώς και για την καλύτερη κατανόηση των τακτικών, των εργαλείων και των διαδικασιών των πιο προηγμένων ομάδων APT.
Περισσότερες λεπτομέρειες βρίσκονται στο WeLiveSecurity.com blogpost και το σχετικό white paper.