ESET-onderzoekers onthullen een opvolger van de gevreesde BlackEnergy APT-groep - In de voetsporen van een gevreesde bedreigingsactor, met een nieuw arsenaal aan instrumenten.
17 oktober 2018 - ESET heeft details onthuld van een opvolger van de BlackEnergy APT-groep. Deze aanvaller, door ESET benoemd als GreyEnergy, richt zich op spionage en verkenning, mogelijk in voorbereiding op toekomstige cybersabotageaanvallen.
BlackEnergy terroriseert Oekraïne al jaren en trad in december 2015 op de voorgrond wanneer de groep een stroomstoring veroorzaakte waarbij 230.000 mensen zonder elektriciteit kwamen te zitten. Dit was de eerste stroomstoring als gevolg van een cyberaanval. In dezelfde periode detecteerden ESET-onderzoekers een ander malware framework en noemden het GreyEnergy.
"De afgelopen drie jaar hebben we gezien dat GreyEnergy betrokken was bij aanvallen op energiebedrijven en andere vitale doelen in Oekraïne en Polen", zegt Anton Cherepanov, ESET Senior Security Researcher die het onderzoek leidde.
De aanval van 2015 op de Oekraïense energie-infrastructuur was de meest recent bekende operatie waarbij gebruik werd gemaakt van de BlackEnergy toolset. Vervolgens documenteerden ESET-onderzoekers een nieuwe APT-subgroep, TeleBots.
TeleBots staan bekend om de wereldwijde uitbraak van NotPetya, de destructieve malware die de wereldwijde bedrijfsvoering in 2017 verstoorde en schade veroorzaakte in de orde van miljarden dollars. Zoals ESET-onderzoekers onlangs hebben bevestigd, zijn TeleBots ook verbonden met Industroyer, de krachtigste moderne malware voor industriële besturingssystemen en de boosdoener achter de tweede stroomstoring in de Oekraïense hoofdstad Kiev in 2016.
"GreyEnergy is samen met TeleBots opgedoken, maar in tegenstelling tot BlackEnergy, zijn de activiteiten van GreyEnergy niet beperkt tot Oekraïne en tot nu toe niet schadelijk geweest. Het is duidelijk dat ze onder de radar willen vliegen", zegt Anton Cherepanov.
Volgens de grondige analyse van ESET is GreyEnergy malware nauw verbonden met zowel BlackEnergy als TeleBots malware. Het is modulair opgebouwd, dus de functionaliteit is afhankelijk van de specifieke combinatie van modules die de operator uploadt naar de systemen van het slachtoffer.
De modules beschreven in de analyse van ESET werden gebruikt voor spionage- en verkenningsdoeleinden en omvatten: backdoor, informatieverzameling, het maken van screenshots, keylogging, het bemachtigen van wachtwoorden en inloggegevens, enz.
"We hebben geen modules waargenomen die specifiek gericht zijn op software of apparatuur voor industriële besturingssystemen. We hebben echter vastgesteld dat GreyEnergy-operators zich strategisch richten op ICS-werkstations met SCADA-software en -servers", legt Anton Cherepanov uit.
ESET's openbaarmaking en analyse van GreyEnergy is belangrijk voor een succesvolle verdediging tegen deze specifieke dreigingsactor en voor een beter begrip van de tactieken, tools en procedures van de meest geavanceerde APT-groepen.
Meer details vindt u in de WeLiveSecurity.com blogpost en de white paper.
Noot voor redacteuren: Wanneer ESET Onderzoek cyberaanvallen beschrijft en hierbij cybercriminele groepen op het spoor komt, legt het verbanden op basis van technische indicatoren zoals overeenkomsten in de code, gedeelde Command & Control infrastructuur, malware-uitvoeringsketens en ander bewijsmateriaal. Aangezien ESET niet betrokken is bij rechtshandhavings- of inlichtingenonderzoeken, speculeren we niet op mogelijke nationale attributie voor deze aanvallen.
Over ESET
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D centra over de hele wereld, is ESET het eerste IT-security bedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke ‘’in-the-wild’’ malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.