Les chercheurs ESET ont découvert ce qui pourrait être le successeur du célèbre groupe APT BlackEnergy. Ce nouveau groupe, baptisé GreyEnergy, marche dans les pas de son prédécesseur avec un nouvel arsenal numérique à sa disposition.
Bratislava, Slovaquie, 17 octobre 2018 – ESET a découvert un nouveau groupe de cybercriminels qui pourrait bien être un successeur du célèbre groupe APT BlackEnergy. Baptisé GreyEnergy par les chercheurs ESET, celui-ci semble mener actuellement des opérations de reconnaissance et d’espionnage, très probablement en préparation de futures cyberattaques.
Le groupe BlackEnergy est actif en Ukraine depuis plusieurs années, et il s’est notamment fait connaître en décembre 2015 lorsqu’il a privé 230 000 personnes d’électricité dans ce qui est reconnu comme le tout premier cyber-blackout de l’histoire. Mais a peu près au même moment, les chercheurs ESET détectaient en parallèle un second groupe, similaire, qu’ils baptisaient alors GreyEnergy.
« Au cours des trois dernières années, nous avons observé GreyEnergy mener des attaques contre des entreprises du secteur de l’énergie et d’autres cibles de valeur en Ukraine et en Pologne », révèle Anton Cherepanov, chercheur senior chez ESET.
L’attaque de 2015 contre l’infrastructure électrique ukrainienne est la dernière opération connue dans laquelle l’arsenal numérique du groupe BlackEnergy APT a été utilisé. Mais peu après, les chercheurs ESET identifiaient et documentaient le sous-groupe APT TeleBots.
TeleBots est désormais plus connu pour être à l’origine de l’épidémie mondiale de NotPetya, le malware destructeur de disques durs qui a perturbé de grandes entreprises mondiales en 2017 et causé à lui seul plusieurs milliards de dollars de dégâts. Mais comme l’ont déterminé les chercheurs ESET, TeleBots est également à l’origine du malware Industroyer, le code malveillant le plus avancé à ce jour ciblant les systèmes de contrôle industriels. Il est notamment responsable du second cyber-blackout qui a frappé la capitale Ukrainienne en 2016.
« GreyEnergy est apparu au même moment que TeleBots, mais contrairement à ce dernier, ses activités ne se limitent pas à l’Ukraine et, jusqu’à présent, il ne s’est pas montré destructeur. Ils veulent manifestement rester sous le radar », explique Anton Cherepanov.
Selon l’étude détaillée menée par les chercheurs ESET, le malware déployé par GreyEnergy est très proche de ceux mis en œuvre par BlackEnergy et TeleBots. Il est modulaire, et donc ses fonctionnalités précises dépendent de l’association de modules choisie par ses opérateurs au moment d’infecter leur victime.
Les modules documentés dans l’analyse d’ESET sont destinés à des opérations d’espionnage et de reconnaissance, et ils peuvent notamment comprendre des portes dérobées, de l’extraction de fichiers, la prise de captures d’écran, un keylogger, le vol de mots de passe et d’autres identifiants, etc.
« Nous n’avons observé à ce jour aucun module ciblant spécifiquement les systèmes de contrôle (ICS) ou les automates industriels. Mais nous avons observé que les opérateurs de GreyEnergy privilégient en revanche les postes de travail qui hébergent de telles solutions ICS ou SCADA », poursuit Anton Cherepanov.
La découverte et l’analyse des méthodes de GreyEnergy par les chercheurs ESET est une étape importante dans la mise en place de protections efficaces contre cet acteur malveillant en particulier, mais aussi dans la compréhension des tactiques, des outils et des procédures (TTPs) des groupes APT les plus avancés.
Vous pourrez trouver plus de détails au sujet du groupe GreyEnergy dans notre billet de blog sur WeLiveSecurity et dans le livre blanc publié par ESET (tous deux en anglais)
Note à l’attention des rédacteurs : lorsque les chercheurs ESET analysent des cyberattaques et traquent des cybercriminels, ils s’appuient pour cela uniquement sur des indicateurs techniques tels que des similitudes au sein du code source, des infrastructures de Command & Control communes ou encore des chaines d’exécution de malwares identiques. Mais ESET n’étant pas présent sur le terrain, que ce soit dans le cadre d’opérations de police ou de renseignement, nous ne suggérons aucune responsabilité étatique éventuelle dans ces attaques.
CONTACT PRESSE
Darina Santamaria - 01 86 27 00 39 / 06 61 08 42 45 - darina.j@eset-nod32.fr
À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 600 millions de postes dans le monde.