BlackEnergy пак е тук. И този път напада медии и енергийни компании

Next story

Троянецът BlackEnergy се завърна! Вирусът отново върлува в Украйна, като този път е още по-опасен и е насочен срещу медийния и енергийния сектор.Зловредният код е добре известен от атаките срещу множество неправителствени организации в Украйна и Полша през 2014 г. Същият вирус без използван и за шпиониране на крайни потребители.Най-новата модификация на BlackEnergy бе разкрита от изследователите на ESET в края на 2015 г. Тя отново разчита на пробойна в сигурността на операционната система, за да внедри т.нар.  KillDisk компонент. Това поколение на зловредния код е използвано за атаки срещу украински медии и енергийната индустрия на страната.Веднъж активирани, вариантите на BlackEnergy Lite дават на кибер престъпника достъп до инфектираното устройство. Чрез него се потвърждава идентичността на мишената – което стартира зареждането на стандартен вариант на BlackEnergy, използван най-вече за подслушването на потребителя.

С изключение на някои командни сървъри, конфигурацията съдържа текстовата комбинация build_id. Чрез нея се идентифицира типа атака или опит за атака от страна на BlackEnergy. Комбинацията от използваните числа и букви понякога разкрива информация за конкретната кампания или мишените.Екипът на ESET засича следните конфигурации през 2015:

  • 2015en
  • khm10
  • khelm
  • 2015telsmi
  • 2015ts
  • 2015stb
  • kiev_o
  • brd2015
  • 11131526kbp
  • 02260517ee
  • 03150618aaa
  • 11131526trk

Предполага се, че всяка комбинация има специално значение. Например, 2015telsmi вероятно съдържа акронима SMI – Sredstva Massovoj Informacii, както и 2015en би следвало да значи – Energy. Сред по-очевидните е Kiev, чието значение е ясно.

През 2015 в кода на BlackEnergy е въведено използването на нов компонент KillDisk в продукти като Win32/KillDisk.NBB, Win32/KillDisk.NBC и Win32/KillDisk.NBD trojan. Основната му цел е да наруши целостта на определена информация на устройството. Вирусът презаписва файловете и не позволява на системата да ги възстанови в първоначалния им работещ вид.

Първият такъв случай е документиран през ноември 2015 година от CERT-UA. Той бил засечен, след като множество медии били атакувани по време на провеждащите се избори в Украйна. Цели били текстови файлове и видео материали, които били безвъзвратно заличавани от инфектираните устройства. Списъкът на файловете разширения наброява близо 4000.Figure 2KillDisk компонентът, използван при атаките на енергийната индустрия, се откроява с минимални разлики. Анализът на експертите от ESET показва следните промени в действието му:

  • приема команда, за да заложи точно време на активиране на зловредния код;
  • изтрива Windows Event Logs: Application, Security, Setup, System;
  • концентриран в премахването на много по-малко файлове – само 35.

Както в предишния случай, системата не може да възвърне старите файлове. В добавка обаче е включена функционалност, която да саботира индустриални системи. След активация вариантът на KillDisk компонента открива и спира 2 процеса със следните имена:

  • komut.exe
  • sec_service.exe

Приложение, представящо се за SSH сървър

След обстоен анализ на ESET бе разкрито приложение, което се представя за легитимен SSH сървър. Името, с което то присъства в системата, е Dropbear SSH. Тайният сървър се активира чрез VBS файл, който е със следното съдържание:Set WshShell = CreateObject(“WScript.Shell”)
WshShell.CurrentDirectory = “C:\WINDOWS\TEMP\Dropbear\”
WshShell.Run “dropbear.exe -r rsa -d dss -a -p 6789″, 0, falseКакто става видно, с SSH сървъра се установява връзка чрез порт 6789, давайки постоянен достъп на кибер престъпниците до мрежата. Разработчиците на зловредния код са си оставили и допълнителна вратичка, в случай че по някаква причина присъствието им бъде усетено:

При въвеждане на изискваната парола се дава достъп на потребителя. Същият принцип важи при оторизацията с ключ.Решенията за антивирусна защита на ESET за дома и за бизнеса разпознават вируса под името Win32/SSHBearDoor.A trojan.