Огромен брой организации (и частни, и публични) в Полша и Украйна са станали жертва на целенасочени атаки с вирус, създаден специално за откриване на мрежови пробойни и използването им за кражба на информация от жертвите. Интересното в тези атаки? Освен сложната геополитическа ситуация в региона, има и още един интересен момент – използването на преработен вариант на BlackEnergy - семейство вируси с богата история. Но да започнем отначало. BlackEnergy е троянски кон, който претърпя значителни промени във функционалността си след разкриването му от Arbor Networks през 2007 г. Започнал като прост DDoS троянец, той еволюира до доста по-сложен зловреден код с модуларна архитектура, което го превръща в подходящ инструмент за разпращане на спам, онлайн банкови измами, както и за вече споменатите целенасочени атаки. Версия 2 на BlackEnergy, в която са добавени и руткит техники, е открита от Dell SecureWorks през 2010 г. Последните целенасочени атаки показват, че този троянец е все още жив и през 2014 г. Последните варианти на BlackEnergy са с дати септември 2014 г.
BlackEnergy Lite: размерът няма значение?
Нека не се залъгваме – оригиналният BlackEnergy троянец не е спирал да съществува и да се разпространява. При това в различни варианти. Най-новите модификации на BlackEnergy – открити още през началото на 2014 г. – ще наречем BlackEnergy Lite. Причината за „олекотяването“ е ограничаването на броя поддържани плъгини и липсата на драйвер за режима на ядрото.Още по-интересен факт е, че създателите на вируса също са предпочели да го озаглавят по същия начин, както се вижда от основната библиотека (DLL) на вируса: >Дори и „стандартните“ версии на BlackEnergy са олекотени и вече не съдържат руткит функционалности, например. На първо четене това изглежда като стъпка назад що се касае до степента на сложност на вируса. Зад този тренд може да се крият няколко фактора – промените в Windows, които затрудняват използването на руткитове, сложността, която представлява разработването на такъв тип вируси и т.н., и т.н. Важно е, че в крайна сметка дори и по-софистицираните версии на „стандартния“ BlackEnergy вече са доста по-прости. А що се касае до BlackEnergy Lite, той е още по-олекотен. И по-различен що се касае до начина на съхранение, формата на конфигурацията му и още доста, доста разлики.
BlackEnergy през 2014 г.
През дългата си история BlackEnergy е служил на много автори и за различни цели, сред които DDoS атаки, разпращане на спам и дори банкови измами. Засечените през 2014 г. варианти – и на BlackEnergy, и на BlackEnergy Lite - обаче се използват доста по целенасочено. Факти, които се доказват от структурата на вируса. Използваните към тях добавки целят най-вече откриване на мрежи и отдалечено стартиране на кодове за събиране на данни от харддисковете на жертвите. Това предизвика интереса ни. И ни накара да обърнем специално внимание на вариантите на вируса. По време на проучването си следихме поведението на стотици индивидуални жертви на кодовете. Половината от тях бяха в Полша, а другата половина – в Украйна. А сред тях има множество държавни организации, бизнеси, както и цели, които така и не успяхме да идентифицираме. Кампаниите по разпространяването на вируса, които наблюдавахме, използваха или методи за чисто технологична зараза чрез използване на софтуерни пробойни, социално инженерство и фишинг имейли, както и комбинация от двата метода. През април открихме Word документ, който използва уязвимост CVE-2014-1761 в Microsoft Word. Тази пробойна е използвана и в други атаки, например - MiniDuke.В случай, че бъде стартирана успешно, кодът на вируса „стоварва“ два файла в Temp директорията на жертвата – червеят “ WinWord.exe” и документ-примамка, озаглавен “Russian ambassadors to conquer world.doc”. В последствие тези файлове се отварят чрез функцията kernel32.WinExec. WinWord.exe служи за разархивиране и стартиране на програмата за сваляне на BlackEnergy Lite на компютър. Документът-примамка съдържа доста противоречив и скандален текст, който обаче е видимо фалшив, както може да се убедите по-долу: Междувременно, още един документ използва уязвимостта CVE-2014-1761. Текстът му е доста по-скромен спрямо вече споменатия, но все пак касае геополитически отношения. Темата му е форумът GlobSEC, който се проведе по-рано тази година в Братислава. Около месец по-късно, през май, открихме още един инсталатор на BlackEnergy Lite. Той не използва никаква уязвимост. Файлът, наречен “список паролiв” (списък с пароли на украински), е маскиран като Word документ .exe файл. 1123456 2admin 3password 4test 5123 6123456789 712345678 81234 9qwerty 10asdf 11111111 121234567 13123123 14windows 15123qwe 161234567890 17password123 18123321 19asdf123 20zxcv 21zxcv123 22666666 23654321 24pass 251q2w3e4r 26112233 271q2w3e 28zxcvbnm 29abcd1234 30asdasd 31555555 32999999 33qazwsx 34123654 35q1w2e3 36123123123 37guest 38guest123 39user 40user123 41121212 42qwert 431qaz2wsx 44qwerty123 45987654321 46pass123 47trewq 49trewq321 49trewq1234 502014 И въпреки че е изпълним файл, той също съдържа документ-примамка – и да, в него има списък с пароли. В крайна сметка, независимо от метода на разпространение, крайният ефект от BlackEnergy и BlackEnergy Lite , реколта 2014 е един и същ – те крадат информация от заразените компютри. И са доста добре насочени срещу определени организации. Затова, имайте едно на ум, преди да отворите поредния файл, съдържащ шокиращи „истини“ за теорията за световната конспирация.