Огромен брой организации (и частни, и публични) в Полша и Украйна са станали жертва на целенасочени атаки с вирус, създаден специално за откриване на мрежови пробойни и използването им за кражба на информация от жертвите. Интересното в тези атаки? Освен сложната геополитическа ситуация в региона, има и още един интересен момент – използването на преработен вариант на BlackEnergy - семейство вируси с богата история. Но да започнем отначало. BlackEnergy е троянски кон, който претърпя значителни промени във функционалността си след разкриването му от Arbor Networks през 2007 г. Започнал като прост DDoS троянец, той еволюира до доста по-сложен зловреден код с модуларна архитектура, което го превръща в подходящ инструмент за разпращане на спам, онлайн банкови измами, както и за вече споменатите целенасочени атаки. Версия 2 на BlackEnergy, в която са добавени и руткит техники, е открита от Dell SecureWorks през 2010 г. Последните целенасочени атаки показват, че този троянец е все още жив и през 2014 г. Последните варианти на BlackEnergy са с дати септември 2014 г.
BlackEnergy Lite: размерът няма значение?
Нека не се залъгваме – оригиналният BlackEnergy троянец не е спирал да съществува и да се разпространява. При това в различни варианти. Най-новите модификации на BlackEnergy – открити още през началото на 2014 г. – ще наречем BlackEnergy Lite. Причината за „олекотяването“ е ограничаването на броя поддържани плъгини и липсата на драйвер за режима на ядрото.Още по-интересен факт е, че създателите на вируса също са предпочели да го озаглавят по същия начин, както се вижда от основната библиотека (DLL) на вируса: >![1](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/uploads/RTEmagicC_350c7609ae.png.png)
BlackEnergy през 2014 г.
През дългата си история BlackEnergy е служил на много автори и за различни цели, сред които DDoS атаки, разпращане на спам и дори банкови измами. Засечените през 2014 г. варианти – и на BlackEnergy, и на BlackEnergy Lite - обаче се използват доста по целенасочено. Факти, които се доказват от структурата на вируса. Използваните към тях добавки целят най-вече откриване на мрежи и отдалечено стартиране на кодове за събиране на данни от харддисковете на жертвите. Това предизвика интереса ни. И ни накара да обърнем специално внимание на вариантите на вируса. По време на проучването си следихме поведението на стотици индивидуални жертви на кодовете. Половината от тях бяха в Полша, а другата половина – в Украйна. А сред тях има множество държавни организации, бизнеси, както и цели, които така и не успяхме да идентифицираме. Кампаниите по разпространяването на вируса, които наблюдавахме, използваха или методи за чисто технологична зараза чрез използване на софтуерни пробойни, социално инженерство и фишинг имейли, както и комбинация от двата метода. През април открихме Word документ, който използва уязвимост CVE-2014-1761 в Microsoft Word. Тази пробойна е използвана и в други атаки, например - MiniDuke.В случай, че бъде стартирана успешно, кодът на вируса „стоварва“ два файла в Temp директорията на жертвата – червеят “ WinWord.exe” и документ-примамка, озаглавен “Russian ambassadors to conquer world.doc”. В последствие тези файлове се отварят чрез функцията kernel32.WinExec. WinWord.exe служи за разархивиране и стартиране на програмата за сваляне на BlackEnergy Lite на компютър. Документът-примамка съдържа доста противоречив и скандален текст, който обаче е видимо фалшив, както може да се убедите по-долу:![2](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/uploads/RTEmagicC_9724ee1da9.png.png)
![3](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/uploads/RTEmagicC_b3ae442d37.png.png)
![4](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/uploads/RTEmagicC_beac2e1a27.png.png)