ESET saugumo tyrėjai atskleidė kibernetinių nusikaltėlių grupuotės „BlackEnergy APT“ įpėdinę, sekančią jos pėdomis ir apsiginklavusią naujais kenksmingais įrankiais. Tyrėjų pavadinta „GreyEnergy“ grupė visas pastangas deda į šnipinėjimą ir žvalgybą, tikėtina, taip ruošdamasi didesnėms kibernetinio sabotažo atakoms.
„BlackEnergy“ ilgą laiką terorizavusi Ukrainą 2015 m. gruodį surengė atakas prieš Ukrainos elektros energijos tiekimo įmones, kurių metu 230 tūkstančių žmonių liko be elektros. Tai buvo pirma tokio tipo ataka, sukėlusi elektros tiekimo trikdžius.
Tuo pačiu metu ESET tyrėjai užfiksavo kitą kenksmingų programų sistemą ir ją pavadino „GreyEnergy“.
„Matėme, kaip „GreyEnergy“ dalyvavo atakose prieš elektros tiekimo įmones ir kitus aukštos vertės objektus Ukrainoje ir Lenkijoje pastaruosius trejus metus“, – tvirtina ESET vyresnysis saugumo tyrėjas Anton Cherepanov, vadovavęs šiam tyrimui.
2015 m. ataka prieš Ukrainos energijos infrastruktūrą buvo žinomiausia operacija, kurioje buvo panaudotas „BlackEnergy“ įrankių rinkinys. Vėliau ESET tyrėjai išanalizavo naują pažangių grėsmių platintoją „TeleBots“.
„TeleBots“ yra geriausiai žinoma dėl pasaulį sudrebinusio, diskus trinančio kenkėjo „NotPetya“, kuris 2017 m. sutrikdė daugybės verslų veiklą ir sukėlė milijardais dolerių skaičiuojamą žalą. Kaip neseniai patvirtino ESET, „TeleBots“ yra susiję su galingiausiu kenkėju „Industroyer“, atakuojančiu industrines valdymo sistemas ir sukėlusiu elektros tiekimo trikdžius Kijeve 2016 m. „GreyEnergy“ iškilo kartu su „TeleBots“, bet kitaip nei gerai žinoma „BlackEnergy“, jos veikla neapsiriboja vien Ukraina ir kol kas rengiamos atakos nebuvo tokios žalingos.
Akivaizdu, ši nusikaltėlių grupė nori išvengti dėmesio“, – teigia A. Cherepanov. Remiantis išsamia ESET analize, „GreyEnergy“ kenkėjas yra artimai susijęs tiek su „BlackEnergy“, tiek su „TeleBots“ kenkėju. Dėl modulinės konstrukcijos jo funkcionalumas priklauso nuo pasirenkamos modulių kombinacijos, kurią kenkėją valdantis operatorius atsiunčia į užkrėstą sistemą.
Palyginus su „BlackEnergy“, „GreyEnergy“ kenksmingų įrankių rinkinys yra labiau pritaikytas slapstytis ir turi galimybę perimti visos įmonės tinklų kontrolę. Viena iš technikų yra į užkrėstą sistemą atsiųsti tik norimus modulius.
ESET išanalizavo modulius, kurie buvo naudojami šnipinėjimo ir žvalgybos tikslais, taip pat buvo aptiktos funkcijos, skirtos įsilaužti pro „galines duris“ (angl. backdoor), ištraukti failus, daryti momentines ekrano kopijas, rinkti klaviatūros paspaudimus, vogti slaptažodžius ir prisijungimo duomenis.
„Mes neaptikome jokių modulių, kurie tikslingai atakuoja industrines valdymo sistemas ar įrenginius. Tačiau mes pastebėjome, kad „GreyEnergy“ operatoriai strategiškai atakuoja ICS valdymo darbo vietas, naudojančias SCADA programinę įrangą ir serverius“, – paaiškina A. Cherepanov.
„GreyEnergy“ atskleidimas ir detali analizė padės apsisaugoti nuo tokių grėsmių platintojų, taip pat leidžia geriau suprasti, kokias taktikas, įrankius ir procedūras naudoja pažangiausios kibernetinių nusikaltėlių grupės.
ESET atliktą „GreyEnergy“ analizę skaitykite čia: www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf
Pastaba redaktoriams:
Kai ESET tyrimuose aprašomos kibernetinės atakos ir kibernetinių nusikaltėlių grupių pėdsakai, visos sąsajos yra paremtos techninių indikatorių, kaip programinio kodo panašumai, naudojama valdymo ir kontrolės infrastruktūra, kenkėjiškų programų vykdymo grandinės ir kiti įrodymai. ESET nedalyvauja vietinės teisėsaugos ar žvalgybos tyrimuose, todėl nespekuliuoja dėl jokių galimų valstybių priskyrimų šioms atakoms.