Threat Analysis: The Ukraine Shutdown
Grupa cyberprzestępców skupiająca się na firmach i organizacjach z sektora energetycznego niedawno zaktualizowała swój arsenał dzięki niszczycielskiemu komponentowi do usuwania danych i cofniętemu serwerowi SSH.
Grupa znana jest w społeczności bezpieczeństwa jako Sandworm lub BlackEnergy, po pierwotnym narzędziu szkodliwego oprogramowania i działa od kilku lat. Dotyczyło to przede wszystkim firm, które operują systemami kontroli przemysłowej, szczególnie w sektorze energetycznym, ale również po organizacjach rządowych wysokiego szczebla, urzędach miejskich, federalnych służbach ratowniczych, krajowych organach normalizacyjnych, bankach, akademickich instytucjach badawczych i firmach zajmujących się nieruchomościami.
W ciągu ostatnich kilku miesięcy grupa skupiła się na organizacjach z branży medialnej i energetycznej na Ukrainie, według analityków bezpieczeństwa z firmy antywirusowej ESET. Te nowe operacje ujawniły pewne zmiany w technikach grupy.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego komputera z systemem Windows]W listopadzie zespół ds. Reagowania kryzysowego komputerowego Ukrainy (CERT-UA) poinformował, że podczas wyborów lokalnych w październiku, wiele organizacji medialnych zostało zaatakowanych przez szkodliwe oprogramowanie BlackEnergy prowadzące do utraty treści wideo i innych danych.
Według naukowców ESET winnym był nowy składnik BlackEnergy nazwany KillDisk, który można skonfigurować do usuwania określone typy plików i powodują, że zagrożone systemy są nieobsługiwane.
Wariant KillDisk w ataku na organizacje medialne został skonfigurowany tak, aby usuwał ponad 4000 typów plików, z których wiele dotyczyło filmów i dokumentów.
Ten sam komponent był również ostatnio używany w atakach na firmy energetyczne na Ukrainie, ale o innej konfiguracji. Skierował on tylko 35 rozszerzeń plików i miał opcję ataku czasowego.
"Poza możliwością usuwania plików systemowych, które uniemożliwiały uruchomienie systemu - funkcjonalność typowa dla takich destrukcyjnych koni trojańskich - wykryto wariant KillDisk w firmach zajmujących się dystrybucją energii elektrycznej Wydaje się również, że zawiera pewną dodatkową funkcję specjalnie przeznaczoną do sabotowania systemów przemysłowych "- powiedzieli badacze ESET na blogu.
W przededniu 23 grudnia duży obszar w Iwano-Frankowskiej na Ukrainie poniósł awarię prądu . Ukraiński serwis informacyjny TSN poinformował, że przyczyną awarii był wirus odłączający podstacje elektryczne.
Naukowcy z ESET uważają, że ten atak został przeprowadzony ze szkodliwym oprogramowaniem BlackEnergy i że nie był jedyny.
"Patrząc na Na podstawie własnej telemetrii ESET odkryliśmy, że zgłoszony przypadek nie był odosobnionym incydentem, a inne firmy energetyczne na Ukrainie były celem cyberprzestępców w tym samym czasie ", napisali w raporcie.
Komponent KillDisk został użyty w niektórych te ataki. Oprócz wycierania różnych typów plików, został skonfigurowany tak, aby zatrzymać dwa określone procesy, jeden z nich może być skojarzony z ELTIMA Serial to Ethernet Connectors lub z ASEM Ubiquity, platformą zdalnego zarządzania dla przemysłowych systemów sterowania (ICS).
To to nie pierwszy przypadek wykorzystania BlackEnergy do atakowania przemysłowych systemów sterowania. W 2014 r. Zespół ds. Reagowania w sytuacjach kryzysowych Industrial Control Systems (ICS-CERT), oddział amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego, ostrzegł, że wiele firm obsługujących interfejsy HMI (interfejs człowiek-maszyna) od General Electric, Siemens i BroadWin / Advantech ich systemy zainfekowane BlackEnergy.
HMI to aplikacje, które zapewniają graficzny interfejs użytkownika do monitorowania i interakcji z przemysłowymi systemami sterowania.
Kolejnym nowym dodatkiem do arsenału grupy jest wycofana wersja serwera SSH o nazwie Dropbear. Naukowcy z ESET zauważyli, że atakujący BlackEnergy wdrażają odmianę tego oprogramowania na zaatakowanych komputerach, które zostały wstępnie skonfigurowane tak, aby akceptowały zakodowane hasło i klucz do uwierzytelniania SSH.
Grupa cybernetyczna BlackEnergy przeznaczona dla systemów linuksowych i routerów Cisco
Naukowcy z Kaspersky Lab odkryli moduły szkodliwego oprogramowania BlackEnergy przeznaczone dla systemów ARM i MIPS z systemem Linux
Grupa cybernetyczna BlackEnergy dodaje do swojego arsenału dyskietkę i backdoora SSH
Grupa cyberprzestępców skupiająca się na firmach i organizacjach z sektora energetycznego Niedawno zaktualizował swój arsenał dzięki niszczycielskiemu modułowi do usuwania danych i awaryjnemu serwerowi SSH.