BlackEnergy си има наследник, който най-вероятно се готви за масирана атака извън Украйна и може да има връзка със създателите на NotPetya. Това показва анализът ни на нов зловреден код, който нарекохме GreyEnergy.
Кои са BlackEnergy?
Хакерската група е известна най-вече с атаката си срещу енергийната система на Украйна през 2015 г. Резултатът от нея беше принудително спиране на електрозахранването на 230 хил. жители на страната.
А кои са GreyEnergy?
Почти паралелно с разкриването на BlackEnergy, анализаторите ни откриха и следи от приличащ на него зловреден код - GreyEnergy.
За разлика от предшественика си, през последните 3 години GreyEnergy беше използван за атаки често срещу организации в Украйна и Полша. През този период GreyEnergy е направил всичко възможно да остане извън обсега на радарите и действията му са добре прикривани.
Една от причините за това е, че досега действията на членовете на организацията са по-скоро безобидни. GreyEnergy предпочитат да остават под радара и засега се фокусират върху корпоративен шпионаж. Възможно е това да се дължи на факта, че в момента се подготвят за бъдещи атаки или подготвят почвата за атаки от страна на друга хакерска група.
Каква е връзката между BlackEnergy, GreyEnergy и NotPetya
Темата за авторите на една от най-масовите атаки с криптовируси от 2017 г., NotPetya, не е от вчера. За автор на атаката се сочи групата TeleBots.
Кампанията, разразила се в средата на миналата година, доведе до принудително спиране на държавни и частни организации по цял свят и причини щети в размер на милиарди долари.
Според прочуванията ни TeleBotsимат пряка връзка с Black Energy, която се вижда от сходствата в зловредните кодове, използвани от двете групи. Предвид тези прилики, може да се търси връзка между трите отделни организации, които към момента са считани за отделни групировки:
· BlackEnergy (действат основно в Украйна, атакуват енергийната мрежа на страната
· TeleBots, считани за автори на NotPetya, но също активни в други сектори на уикранската икономика (например, финанси)
· GreyEnergy, които действат в сянка от около 3 години
Каква е приликата между BlackEnergy и GreyEnergy
Основната причина да търсим сходство между двете групи са инструментите, с които работят.
Те използват специфична комбинация от зловредни кодове, всеки от които има различни функции: например бекдор, сваляне на файлове, създаване на скрийншотове, кийлогъри, кражба на пароли и т.н. Не сме открили код, който да таргетира системи за индустриален контрол, каквито атакуваха BlackEnergy.
За сметка на това забелязахме, че GreyEnergy таргетира работни станции, които работят със софтуер за SCADA системи. Tези системи винаги са онлайн, освен през период на профилактика.
Връзките между BlackEnergy, GreyEnergy и TeleBots
Имаме няколко основания да смятаме, че GreyEnergy има връзка с BlackEnergy, и съответно с TeleBots:
· GreyEnergy се появиха по същото време, когато BlackEnergy изчезнаха от хоризонта;
· Поне една от целите на GreyEnergy е била цел и на BlackEnergy. И двете групи имат интерес към цели в енергийния сектор и критичната инфраструктура. И двете групи таргетират организации в Украйна и Полша;
· Има видими прилики в архитектурата на малуера, който двете групи използват. И в двата случая малуерът се състои от модули, а достъпът до таргетираните системи се получава първо чрез бекдор, а след това чрез инсталиране на пълната версия на зловредения код;
· GreyEnergy използват командни сървъри, които са част от Tor мрежата. Такава беше тактиката и на BlackEnergy. Хипотезата ни е, че това се прави, за да осигури анонимност на връзката към тези сървъри;
· GreyEnergy използват по-модерен малуер, с по-голям фокус върху анонимността. И двата вида зловреден код споделят една основна техника: определени модули атакуват определени цели. Някои модули в малуера на GreyEnergy са криптирани с AES-256 битов ключ, а други са безфайлови и остават само в оперативната памет. Така зловреденият код остава незабелязан.
Има и още една прилика между GreyEnergy и TeleBots (която се счита за наследник на BlackEnergy).
През декември 2016 г. забелязахме, че GreyEnergy използва ранна версия на червея, който след това беше използван от TeleBots, за да осъществи най-унищожителната рансъмуер атака в историята - NotPetya. Има значително сходство между този зловреден код и основния модул на малуера, използван от GreyEnergy. Наричаме този зловреден код Moonraker Petya, заради наименованието на един от файловете, които го съставят. Вероятно името е препратка към един от филмите за Джеймс Бонд.
Тактики, техники и процедури на GreyEnergy
Забелязахме два основни вектора на инфектиране: спиър фишинг атаки и компрометиране на сървъри. Когато авторът на атаката засече уязвим сървър, той обикновено опитва през него да стигне и до другите работни станции.
Организаторите на атаката обикновено внедряват собствен прокси сървър в рамките на организацията. През него те пренасочат връзката от инфектираните звена в мрежата към външен команден сървър - с цел да се прикрие дейността на малуера. За системния администратор е по-подозрително, ако види как работните станции в мрежата комуникират с външен сървър, отколкото ако се свързват с такъв в рамките на вътрешната мрежа.
Част от кода, използван от GreyEnergy, е със сертификат на тайванския производител на индустриални и IoT устройства Advantech. Най-вероятно тези сертификати са били откраднати от компанията. Това не е първият подобен случай. По-рано тази година засякохме малуер кампанията Plead, която също използваше дигитални сертификати, откраднати от D-Link Corporation.