GreyEnergy Malware нацелен на поставщиков энергии и транспорта
Еще в 2015 году вредоносное ПО BlackEnergy стало заголовком для разрушения украинской энергосистемы и отключения электроэнергии на нескольких местных коммунальных предприятиях. Исследователи из ESET опубликовали отчет, в котором освещаются новые вирулентные вредоносные программы, которые демонстрируют много концептуальных сходств с BlackEnergy. Ранее неидентифицированный инструментарий был назван GreyEnergy и использовался для нападения на важнейшие инфраструктурные организации, расположенные в Восточной и Центральной Европе.
Подтверждаются свидетельства того, что группа GreyEnergy сотрудничает с группой Telebots, бандой, известной своими атаками в киберпреступности, такими как целенаправленные атаки на украинские банки. По сообщениям, TeleBots несет ответственность за пресловутую атаку NotPetya в 2017 году, выполненную с использованием сложного бэкдора и искалеченной множеством коммерческих сетей в глобальном масштабе.
По словам исследователей, GreyEnergy очень похожа на BlackEnergy с точки зрения дизайна и архитектуры. Что касается modus operandi, то группа GreyEnergy отличается от группы TeleBots. Во-первых, интересы GreyEnergy – это промышленные сети критически важных инфраструктурных организаций. Во-вторых, в отличие от TeleBots, GreyEnergy атакует за пределами Украины. Впервые обнаруженная в 2015 году вредоносность GreyEnergy была нацелена на энергетическую компанию в Польше.
GreyEnergy – это модульное вредоносное ПО, поэтому он атакует систему на тонких этапах, а не только одним ударом. До сих пор GreyEnergy не был способен влиять на промышленные системы управления (ICS), но он нарушил рабочие процессы, используя компонент для очистки дисков, чтобы покрыть их следы. Инструментарий сбрасывает «GreyEnergy mini», легкий бэкдор, который не требует прав администратора. Используя методы фишинга копья, электронные письма, заполненные вредоносными ссылками / документами или подвергая риску интернет-серверы, GreyEnergy разрешало злоумышленникам просматривать сети целевого объекта и получать доступ к конфиденциальной информации, такой как пароли и учетные данные для входа.
«Одна из самых интригующих деталей, обнаруженных в ходе наших исследований, заключается в том, что один из образцов GreyEnergy, которые мы нашли, был подписан с действительным цифровым сертификатом, который, скорее всего, был похищен у тайваньской компании, производящей оборудование ICS. В этом отношении группа GreyEnergy буквально следовала по стопам Stuxnet », – пишет ESET в своем отчете. Для тех, кто еще не знает, Stuxnet был чрезвычайно опасным компьютерным червем, впервые обнаруженным в 2010 году, который предназначался для систем контроля и сбора данных (SCADA), и считается, что он несет ответственность за причинение существенного ущерба ядерной программе Ирана.
В документе ESET говорится: «Несомненно, что киберпреступники, ответственные за GreyEnergy, чрезвычайно опасны, упорны и скрытны».
