Eksperci z firmy ESET przechwycili groźnego konia trojańskiego BlackEnergy, którego ofiarą padło wiele firm i instytucji zlokalizowanych w Polsce i na Ukrainie. To co czyni wykryty atak ciekawym – pomijając aspekt obecnej sytuacji geopolitycznej – to wykorzystywanie wielu mechanizmów dotarcia do swoich ofiar. Samo zagrożenie pozwala atakującemu m.in. na kradzież plików z zainfekowanego komputera czy zdalne uruchomienie dowolnego złośliwego kodu.
Cel: polskie i ukraińskie firmy
Jak podają eksperci ds. bezpieczeństwa ESET, wykryty atak bazuje na znanym już koniu trojańskim BlackEnergy, który od czasu pierwszego pojawienia się w sieci (2007 rok) przeszedł sporą ewolucję. Atak z wykorzystaniem BlackEnergy jest tzw. atakiem targetowanym, wykorzystującym wiadomości email skierowane do konkretnych firm i instytucji. W ataku użyte zostały różne metody dotarcia do swoich ofiar – od wykorzystania luk w zainstalowanych na komputerze programach, przez wiadomości phishingowe z załączonymi zainfekowanymi plikami, a niekiedy wykorzystanie tych obu metod jednocześnie.
Rozsyłany jako załącznik do maila dokument tekstowy ,,Russian ambassadors to conquer world.doc” (Rosyjscy ambasadorzy podbijają świat), jest przynętą na nieostrożnego pracownika wziętej na cel firmy. Kliknięcie załącznika skutkuje wykorzystaniem luki w programie Microsoft Word oraz uruchomieniem BlackEnergy. Jednocześnie wyświetlony zostaje dokument o tytule „Rosyjscy ambasadorzy: następnie przejmiemy Katalonię i Wenecję, Szkocję i Alaskę”. W maju laboratorium ESET zidentyfikowało kolejny plik, który jest wykorzystywany w ataku do instalacji BlackEnergy – to plik wykonywalny ,,список паролiв” (z języka ukraińskiego: ,,lista haseł”), którego ikona może sugerować, że jest to kolejny dokument tekstowy Word.Eksperci z firmy ESET zauważyli, że na przełomie sierpnia i września schemat ataku został zmodyfikowany. Według systemu telemetrycznego ESET LiveGrid do infekowania komputerów wykorzystywano również specjalnie spreparowany dokument PowerPoint, a także niezidentyfikowane luki w Javie, a także program Team Viewer, przeznaczony m.in. do zdalnego kontrolowania komputera.Ewolucja zagrożenia
Wykryty przez ekspertów firmy ESET atak dotknął szczególnie firmy na Ukrainie i w Polsce. Samo zagrożenie nie jest nowe, ale od momentu powstania BlackEnergy znacząco ewoluował. Początkowo wspomniany trojan był zaprojektowany do ataków DDoS. Obecnie, dzięki modułowej architekturze, BlackEnergy stał się narzędziem, które cyberprzestępca może wykorzystać do rozsyłania spamu, oszustw bankowych czy kradzieży plików z zainfekowanego komputera. Eksperci z firmy ESET podkreślają, że trojan BlackEnergy nadal jest aktywny i stanowi zagrożenie, szczególnie dla firm i instytucji, nie tylko w Polsce i na Ukrainie.
Szczegółowa analiza BlackEnrgy zostanie przedstawiona w czwartek 25 września w Seattle, na konferencji niezależnej organizacji badawczej Virus Bulletin.