Компания ESET — лидер в области проактивного обнаружения — сообщает о продолжении хакерских атак, направленных на энергетический сектор Украины. 19 января специалисты ESET обнаружили новую волну кибератак, жертвами которых, как и в декабре 2015 года, стали украинские энергетические компании. Но в отличие от предыдущей атаки, которая была осуществлена с помощью угрозы BlackEnergy, на этот раз хакеры использовали новую вредоносную программу, основанную на общедоступном бэкдоре, в использовании которого трудно заподозрить злоумышленников, спонсируемых определенным государством. Данный факт создает дополнительные вопросы об организаторах данных кибер-операций.
Не смотря на использование новой угрозы, непосредственно сценарий осуществления атаки остался неизменным. На электронные адреса потенциальных жертв были отправлены фишинговые письма от имени ОАО «Укрэнерго» с вредоносным XLS файлом во вложении и HTML-контентом со ссылкой на .PNG файл, который находился на удаленном сервере, что позволяло злоумышленникам получать уведомления о том, что письмо было доставлено и открыто потенциальной жертвой.
Прикрепленный Excel файл содержал макрос, который при открытии электронной таблицы инициировал загрузку троянской программы с удалённого сервера. При этом в отличие от предыдущего ряда атак, осуществляемых с помощью BlackEnergy, в этот раз в рамках кибероперации использовались модифицированные версии бэкдора gcat, написанного на языке программирования Python. Данный бэкдор может загружать исполняемые файлы и выполнять их с помощью shell-команд. Наряду с этим, данный бэкдор gcat, может делать скриншоты, осуществлять кражу паролей («кейлоггинг»), а также загружать файлы, удаленные из исходного кода. Для управления бэкдором злоумышленниками использовалась учетная запись Gmail, что значительно осложняет обнаружение данного трафика в сети.
Продукты ESET обнаруживают данный вид угрозы как:
- VBA/TrojanDropper.Agent.EY
- Win32/TrojanDownloader.Agent.CBC
- Python/Agent.N
Данный ряд кибератак на энергетический сектор Украины стал объектом различных дискуссий о том, стала ли на самом деле вредоносная программа причиной отключения электроэнергии или это лишь искусный способ отвода глаз. Специалисты ESET продолжают тщательно изучать данную угрозу и акцентируют внимание пользователей на последствиях вредоносной деятельности бэкдоров, а именно — предоставление злоумышленникам удаленного доступа к инфицированной системе. Что же касается обвинений в сторону России в причастии к осуществлению подобных кибератак, исследователи ESET рекомендуют не спешить делать выводы, основываясь лишь на политической ситуации. На сегодняшний день пока нет никаких доказательств, которые бы могли свидетельствовать о том, кто стоит за данной кибероперацией, а выявленная кибератака является только еще одной причиной проведения тщательного исследования подобных видов угроз.
В связи с предельно высокой активностью угрозы BlackEnergy специалисты ESET настоятельно рекомендуют пользователям придерживаться правил безопасности при работе на компьютере, а также использовать надежные комплексные антивирусные решения (например, ESET Endpoint Security, ESET Smart Security) и все модули защиты, реализованные в них. Очень часто пользователи подвергают себя дополнительному риску, отключая такие функции как:
- защита документов, обеспечивающая проверку макросов на наличие вредоносного кода;
- обнаружение потенциально опасного/нежелательного ПО;
- облачный репутационный сервис ESET LiveGrid.