Update articol:

ESET: Grupul GreyEnergy, ce are ca țintă sistemele de infrastructură critică, ar putea pregăti noi atacuri periculoase

Grupul GreyEnergy, ce are ca țintă sistemele de infrastructură critică, ar putea pregăti noi atacuri periculoase, atenţionează oficialii companiei ESET. 

ESET a dezvăluit detalii despre un succesor al grupării APT (Advanced Persistent Threat) – BlackEnergy. Numit GreyEnergy de către ESET, acest vector de amenințare se concentrează pe misiuni de recunoaștere și spionaj, de care s-ar putea folosi în pregătirea unor viitoare atacuri de sabotaj cibernetic.

Reprezentanţii ESET susţin: „Gruparea BlackEnergy a înspăimântat Ucraina timp de ani de zile și a devenit cunoscută în decembrie 2015, când a provocat o pană de curent ce a lăsat 230 de mii de oameni fără energie electrică, marcând primul eveniment de acest tip, cauzat de un atac cibernetic”. În aceeași perioadă în care a avut loc acest incident, cercetătorii ESET începeau să detecteze un alt framework malware, pe care l-au numit GreyEnergy.

„GreyEnergy a fost implicat în atacuri direcționate spre companii energetice și alte ținte importante din Ucraina și Polonia în ultimii trei ani”, declară Anton Cherepanov, Senior Security Researcher la ESET, cel care a condus această investigație.

Atacul din 2015 asupra infrastructurii energetice ucrainene a fost cea mai recentă operațiune în care a fost utilizat arsenalul de instrumente deținut de BlackEnergy. Ulterior, cercetătorii ESET au adus informații despre un nou subgrup APT, TeleBots.

TeleBots este cunoscut pentru izbucnirea globală a malware-ului NotPetya, capabil să șteargă discul unui PC. Acest software a afectat operațiuni globale de afaceri în 2017 și a provocat daune în valoare de miliarde de dolari americani. Cercetătorii ESET au confirmat recent că TeleBots are legătură și cu Industroyer, cel mai puternic malware modern care vizează sistemele de control industrial, și este vinovatul din spatele celei de-a doua pene de curent din capitala Ucrainei, Kiev, în 2016.

„GreyEnergy a ieșit la lumină odată cu TeleBots, dar spre deosebire de cel din urmă, care este mai cunoscut, operațiunile GreyEnergy nu se limitează doar la Ucraina și nu au generat până acum pagube. În mod clar, vor să zboare pe sub radar”, spune Anton Cherepanov.

Conform analizei ESET, malware-ul GreyEnergy este strâns legat de malware-ul BlackEnergy și de TeleBots. Acesta dispune de o structură formată din mai multe module, astfel încât funcționalitatea sa să depindă de o combinație specifică de module pe care operatorul să o încarce în sistemele victimei.

Modulele descrise în analiza ESET au fost utilizate în scopuri de spionaj și de recunoaștere și includ: backdoor, extragerea de fișiere, capturarea de screenshot-uri, keylogging, parolă și furtul de credențiale etc.

„Nu am remarcat niciun modul care să vizeze în mod specific software-urile sau dispozitivele sistemelor de control industrial. Cu toate acestea, am observat că operatorii GreyEnergy au vizat strategic stațiile de control ICS, care rulează software și servere SCADA”, explică Anton Cherepanov.

Organizații vizate

Consecințele pentru organizațiile de toate dimensiunile pot fi devastatoare. Comparativ cu BlackEnergy, GreyEnergy prezintă un set de instrumente mai modern, cu un accent mai mare pe camuflaj. Cercetătorii ESET au demonstrat că GreyEnergy are capacitatea de a prelua controlul asupra rețelelor companiei în totalitate.

O tehnică de bază de camuflaj – folosită de ambele grupări – este de a implementa numai anumite module în dispozitivele țintelor vizate și numai atunci când este necesar. În plus, unele module GreyEnergy sunt parțial criptate AES-256, iar altele rămân fileless – funcționând doar în memorie – cu scopul de a evita analiza și detecția.

Pentru a-și șterge urmele, operatorii GreyEnergy șterg componentele malware de pe hard discurile victimelor.