Η ESET έδωσε στη δημοσιότητα λεπτομέρειες για ένα διάδοχο της ομάδας κυβερνοεγκληματιών APT BlackEnergy. Ο συγκεκριμένος κακόβουλος δράστης, που η ESET ονόμασε GreyEnergy, έχει επικεντρωθεί σε ενέργειες κατασκοπείας και υποκλοπών, προετοιμάζοντας ενδεχομένως μελλοντικές επιθέσεις στον κυβερνοχώρο.
Η ομάδα BlackEnergy τρομοκρατούσε την Ουκρανία για χρόνια με αποκορύφωμα το Δεκέμβριο του 2015, όταν προκάλεσε μπλακάουτ αφήνοντας 230 χιλιάδες ανθρώπους χωρίς ηλεκτρικό ρεύμα, στην πρώτη διακοπή ρεύματος από κυβερνοεπίθεση που έχει καταγραφεί παγκοσμίως. Την εποχή εκείνη, οι ερευνητές της ESET άρχισαν να εντοπίζουν κι ένα άλλο πλαίσιο ανάπτυξης κακόβουλου λογισμικού, ονομάζοντάς το GreyEnergy.
«Τα τελευταία τρία χρόνια έχουμε δει την ομάδα GreyEnergy να εμπλέκεται σε επιθέσεις εναντίον εταιριών ενέργειας και άλλων στόχων υψηλού προφίλ στην Ουκρανία και την Πολωνία», σημειώνει ο Anton Cherepanov, Senior Security Researcher της ESET και επικεφαλής της έρευνας.
Η επίθεση στις ουκρανικές ενεργειακές υποδομές το 2015 αποτελεί την τελευταία γνωστή επιχείρηση, όπου χρησιμοποιήθηκε η εργαλειοθήκη της ομάδας BlackEnergy. Στη συνέχεια, οι ερευνητές της ESET κατέγραψαν τη δράση της TeleBots, μιας νέας υπο-ομάδας APT.
Η ομάδα TeleBots είναι κυρίως γνωστή για το παγκόσμιο ξέσπασμα του NotPetya, που, κρυπτογραφώντας δίσκους συστημάτων, παρέλυσε τις επιχειρησιακές δραστηριότητες σε όλο τον κόσμο το 2017, προκαλώντας ζημιές δισεκατομμυρίων δολαρίων στις ΗΠΑ. Όπως επιβεβαίωσαν πρόσφατα οι ερευνητές της ESET, η ομάδα TeleBots συνδέεται επίσης με το Industroyer, το πιο ισχυρό σύγχρονο malware που στοχεύει στα βιομηχανικά συστήματα ελέγχου και βρίσκεται πίσω από τη δεύτερη διακοπή ηλεκτρικού ρεύματος που σημειώθηκε στην πρωτεύουσα της Ουκρανίας, Κίεβο, το 2016.
«Η ομάδα GreyEnergy εμφανίστηκε παράλληλα με την TeleBots, αλλά, σε αντίθεση με αυτή, οι δραστηριότητες της δεν περιορίζονται στην Ουκρανία και μέχρι στιγμής δεν είναι καταστροφικές. Είναι σαφές ότι θέλουν να κρατήσουν χαμηλό προφίλ» σχολιάζει ο Anton Cherepanov.
Σύμφωνα με την εμπεριστατωμένη ανάλυση της ESET, το κακόβουλο λογισμικό της GreyEnergy συνδέεται στενά με το κακόβουλο λογισμικό της BlackEnergy και της TeleBots. Λόγω της «modular» φύσης του, η λειτουργικότητά του εξαρτάται από το πώς θα συνδυάσει ο χειριστής τα επιμέρους δομικά στοιχεία (modules) πριν το εγκαταστήσει στα IT συστήματα του θύματος.
Τα modules που περιγράφονται στην ανάλυση της ESET χρησιμοποιήθηκαν για κατασκοπεία και υποκλοπές και περιλαμβάνουν: backdoor, εξαγωγή αρχείων, λήψη στιγμιότυπων οθόνης, keylogging, κλοπή κωδικών και διαπιστευτηρίων κλπ. «Δεν έχουμε εντοπίσει modules που να στοχεύουν ειδικά σε λογισμικό ή συσκευές βιομηχανικών συστημάτων ελέγχου. Ωστόσο, παρατηρήσαμε ότι οι χειριστές της GreyEnergy έχουν στρατηγικά στοχεύσει ενάντια σε σταθμούς εργασίας ICS που χρησιμοποιούν λογισμικό και διακομιστές SCADA» εξηγεί ο Anton Cherepanov.Οι αποκαλύψεις και οι αναλύσεις της ESET για την ομάδα GreyEnergy ενισχύουν σημαντικά το ποσοστό επιτυχίας των αμυντικών τεχνικών εναντίον της συγκεκριμένης απειλής, καθώς και για την καλύτερη κατανόηση των τακτικών, των εργαλείων και των διαδικασιών των πιο προηγμένων ομάδων APT. Περισσότερες λεπτομέρειες βρίσκονται στο welivesecurity.com blog post και το σχετικό white paper.Σημείωμα για τους συντάκτες: Όταν η ομάδα ερευνών της ESET αναφέρεται λεπτομερώς σε κυβερνοεπιθέσεις και εντοπίζει εγκληματικές ομάδες στον κυβερνοχώρο, βασίζεται σε τεχνικούς δείκτες για να δημιουργήσει συνδέσμους μεταξύ τους, όπως ομοιότητες κώδικα, κοινές υποδομές Command & Control, αλυσίδες εκτέλεσης malware και άλλα στοιχεία. Δεδομένου ότι η ESET δεν συμμετέχει σε επί τόπου έρευνες των οργάνων επιβολής νόμου ή έρευνες των Υπηρεσιών Πληροφοριών, δεν μπορεί να προβεί σε εικασίες για ενδεχόμενη εμπλοκή εθνικού κράτους σε αυτές τις επιθέσεις.
Σχετικά με την ESET
Εδώ και 30 χρόνια, η ESET® αναπτύσσει λογισμικό και υπηρεσίες κορυφαίου επιπέδου για την ασφάλεια επιχειρήσεων και καταναλωτών σε όλο τον κόσμο. Οι λύσεις της ESET, που καλύπτουν ένα ευρύ φάσμα, από την προστασία endpoint και mobile, έως την κρυπτογράφηση και την πιστοποίηση διπλού παράγοντα, διακρίνονται για τις υψηλές επιδόσεις και την ευκολία στη χρήση, προσφέροντας σε καταναλωτές και επιχειρήσεις την ευκαιρία να απολαμβάνουν με ξεγνοιασιά όλες τις δυνατότητες της τεχνολογίας τους. Η ESET προστατεύει και παρακολουθεί όλο το 24ωρο αθόρυβα, προσαρμόζοντας και ανανεώνοντας τις άμυνες της σε πραγματικό χρόνο, ώστε οι χρήστες να είναι ασφαλείς και οι επιχειρήσεις να λειτουργούν αδιάκοπα. Οι απειλές μεταβάλλονται διαρκώς και απαιτούν μια εταιρεία IT ασφάλειας που μπορεί να εξελίσσεται. Διαθέτει παγκοσμίως κέντρα R&D που την υποστηρίζουν, και αποτελεί την πρώτη εταιρεία ασφάλειας IT που έχει φτάσει τον αριθμό των 100 βραβείων Virus Bulletin VB100, χωρίς να έχει χάσει ούτε ένα «in-the-wild» ιό από το 2003. Η ESET διαθέτει τοπικά γραφεία σε Αθήνα και Λευκωσία, καθώς κι ένα εκτεταμένο δίκτυο συνεργατών σε Ελλάδα και Κύπρο. Για περισσότερες πληροφορίες, επισκεφθείτε το www.eset.com/gr.</p>