Опитите за пробив в системите на енергийните дружества в Украйна не спират. Атаката, разкрита от анализаторите ни, получи нов подем едва няколко седмици, след като вирусът BlackEnergy остави хиляди на тъмно.Изненадващо, зловредният код, използван при последните атаки, не е BlackEnergy. Вместо това вирусът е базиран на свободно достъпен отворен код.Сценарият за пробив в системата на енергийните дружества е подобен на осъществения с BlackEnergy. Кибер-престъпниците разпращат инфектирани мейли до потенциалните жертви, съдържащи опасен XLS (Excel) файл.В мейла е включен и html код с линк към .PNG файл (.PNG е разширение за изображение), локализиран на отдалечен сървър. Така кибер-престъпниците получават информация за успешното получаване и отваряне на мейла. По сходен начин бяха извършени и атаките с вируса BlackEnergy, което доведе до масово спиране на тока в Украйна.Обръщайки внимание на името на файла, става видно, че той е Base64 кодиран стринг “mail_victim’s_email”.Зловредният код в XLS файла се активира чрез позволяването на макроси. Използвайки методите на социалното инженерство, потребителят бива подведен да игнорира предупреждението на Microsoft Office за вида (и опасността) на файла. Съобщението, което вижда той, гласи: “Attention! This document was created in a newer version of Microsoft Office. Macros are needed to display the contents of the document.”Изпълнението на макросите води до стартиране на процес за сваляне на последния елемент от вируса и активирането му от отдалечен сървър.Сървърът, съдържащ допълнителните файлове, е бил локализиран в Украйна. След сигнал от CERT-UA и CyS-CERT, той е бил спрян.Вместо очаквания вирус BlackEnergy, на края на веригата се е намирал друг зловреден код. Кибер-престъпниците са използвали модифицирана версия с отворен код на gcat bacldoor, написана на езика Python. Скриптът е бил конвертиран в изпълним файл чрез PyInstaller program.Възможностите на backdoor вируса позволяват сваляне на изпълними файлове и shell команди. Опциите за правене на скрийншотове, логове и качването на файлове са били премахнати от модифицирания код. Контролът се е извършвал чрез Gmail акаунт, превръщайки го в по-труден за откриване в мрежовия трафик.Решенията за сигурност на ESET идентифицират заплахата по следния начин:VBA/TrojanDropper.Agent.EY Win32/TrojanDownloader.Agent.CBC Python/Agent.NВсе още не е напълно сигурно дали вирусът BlackEnergy е причинил или подпомогнал спирането на тока в Украйна през декември 2015 г. Въпреки че има разлика в техническите аспекти, реално на по-високо ниво няма никакво значение. Пробивът е факт и хиляди хора останаха без ток в съседката на Русия. Реално това е същността на backdoor вирусите – предоставяне на отдалечен достъп до инфектираната система.След разкриването и предотвратяването на атаките, остава въпроса кой ги е поръчал. Тук не става дума за един компютър или за малка компания, а за енергийния сектор на цяла държава. Спекулациите са много, но за момента кибер-престъпниците, извършили деянието, остават в сянка.Продължаваме да следим развитието на ситуацията.
