Grupa cybernetyczna BlackEnergy dodaje do swojego arsenału dyskietkę i backdoora SSH

Grupa cyberprzestępców skupiająca się na firmach i organizacjach z sektora energetycznego niedawno zaktualizowała swój arsenał dzięki niszczycielskiemu komponentowi do usuwania danych i cofniętemu serwerowi SSH.

Grupa znana jest w społeczności bezpieczeństwa jako Sandworm lub BlackEnergy, po pierwotnym narzędziu szkodliwego oprogramowania i działa od kilku lat. Dotyczyło to przede wszystkim firm, które operują systemami kontroli przemysłowej, szczególnie w sektorze energetycznym, ale również po organizacjach rządowych wysokiego szczebla, urzędach miejskich, federalnych służbach ratowniczych, krajowych organach normalizacyjnych, bankach, akademickich instytucjach badawczych i firmach zajmujących się nieruchomościami.

W ciągu ostatnich kilku miesięcy grupa skupiła się na organizacjach z branży medialnej i energetycznej na Ukrainie, według analityków bezpieczeństwa z firmy antywirusowej ESET. Te nowe operacje ujawniły pewne zmiany w technikach grupy.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego komputera z systemem Windows]

W listopadzie zespół ds. Reagowania kryzysowego komputerowego Ukrainy (CERT-UA) poinformował, że podczas wyborów lokalnych w październiku, wiele organizacji medialnych zostało zaatakowanych przez szkodliwe oprogramowanie BlackEnergy prowadzące do utraty treści wideo i innych danych.

Według naukowców ESET winnym był nowy składnik BlackEnergy nazwany KillDisk, który można skonfigurować do usuwania określone typy plików i powodują, że zagrożone systemy są nieobsługiwane.

Wariant KillDisk w ataku na organizacje medialne został skonfigurowany tak, aby usuwał ponad 4000 typów plików, z których wiele dotyczyło filmów i dokumentów.

Ten sam komponent był również ostatnio używany w atakach na firmy energetyczne na Ukrainie, ale o innej konfiguracji. Skierował on tylko 35 rozszerzeń plików i miał opcję ataku czasowego.

"Poza możliwością usuwania plików systemowych, które uniemożliwiały uruchomienie systemu - funkcjonalność typowa dla takich destrukcyjnych koni trojańskich - wykryto wariant KillDisk w firmach zajmujących się dystrybucją energii elektrycznej Wydaje się również, że zawiera pewną dodatkową funkcję specjalnie przeznaczoną do sabotowania systemów przemysłowych "- powiedzieli badacze ESET na blogu.

W przededniu 23 grudnia duży obszar w Iwano-Frankowskiej na Ukrainie poniósł awarię prądu . Ukraiński serwis informacyjny TSN poinformował, że przyczyną awarii był wirus odłączający podstacje elektryczne.

Naukowcy z ESET uważają, że ten atak został przeprowadzony ze szkodliwym oprogramowaniem BlackEnergy i że nie był jedyny.

"Patrząc na Na podstawie własnej telemetrii ESET odkryliśmy, że zgłoszony przypadek nie był odosobnionym incydentem, a inne firmy energetyczne na Ukrainie były celem cyberprzestępców w tym samym czasie ", napisali w raporcie.

Komponent KillDisk został użyty w niektórych te ataki. Oprócz wycierania różnych typów plików, został skonfigurowany tak, aby zatrzymać dwa określone procesy, jeden z nich może być skojarzony z ELTIMA Serial to Ethernet Connectors lub z ASEM Ubiquity, platformą zdalnego zarządzania dla przemysłowych systemów sterowania (ICS).

To to nie pierwszy przypadek wykorzystania BlackEnergy do atakowania przemysłowych systemów sterowania. W 2014 r. Zespół ds. Reagowania w sytuacjach kryzysowych Industrial Control Systems (ICS-CERT), oddział amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego, ostrzegł, że wiele firm obsługujących interfejsy HMI (interfejs człowiek-maszyna) od General Electric, Siemens i BroadWin / Advantech ich systemy zainfekowane BlackEnergy.

HMI to aplikacje, które zapewniają graficzny interfejs użytkownika do monitorowania i interakcji z przemysłowymi systemami sterowania.

Kolejnym nowym dodatkiem do arsenału grupy jest wycofana wersja serwera SSH o nazwie Dropbear. Naukowcy z ESET zauważyli, że atakujący BlackEnergy wdrażają odmianę tego oprogramowania na zaatakowanych komputerach, które zostały wstępnie skonfigurowane tak, aby akceptowały zakodowane hasło i klucz do uwierzytelniania SSH.