W drugiej połowie 2016 roku, eksperci z firmy ESET zidentyfikowali unikalny zestaw złośliwych narzędzi, który został użyty do przeprowadzenia ataku ukierunkowanego na instytucje finansowe na Ukrainie. Analitycy przypuszczają, że celem ataku jest cybersabotaż, a za akcją stoi ta sama grupa, która odpowiedzialna była za ataki na ukraińskie elektrownie w 2015 roku.
Ostatni atak z wykorzystaniem zagrożenia TeleBots ma wiele wspólnego z atakiem przeprowadzonym za pomocą zagrożenia BlackEnergy, którego celem padły ukraińskie przedsiębiorstwa energetyczne. Efektem operacji była kilkugodzinna przerwa w dostawach prądu do niemal miliona mieszkańców Ukrainy. Analitycy z firmy ESET podejrzewają, że tamta grupa (BlackEnergy) przekształciła się w obecną TeleBots.
Infekcja
Podobnie jak w przypadku ataków przypisywanych grupie BlackEnergy, cyberprzestępcy wykorzystują maile phishingowe z załączonymi dokumentami Microsoft Excel, które zawierają złośliwe makra. Gdy ofiara kliknie przycisk „Enable Content” (pol. włącz zawartość), Excel uruchamia złośliwe makra. Z analizy ekspertów ESET wynika, że kod makra używanego w dokumentach TeleBots pasuje do kodu makra, który został użyty przez grupę BlackEnergy w 2015. Eksperci zauważają także, że zazwyczaj złośliwe dokumenty nie zawierają istotnych informacji w metadanych, ale tym razem w metadanych dokumentu zawarty został pseudonim osoby, która była odpowiedzialna za jego modyfikację. Co więcej, nazwa użytkownika pasuje do osoby, która komunikuje się aktywnie w rosyjskojęzycznej społeczności cyberprzestępców. Trzeba jednak zaznaczyć, że może to być zbieg okoliczności.
Głównym celem złośliwego makra jest wprowadzenie do systemu kodu, który pobierze trojana Python/TeleBot.AA, a następnie go uruchomi. Po udanej infekcji sieci, atakujący korzystają z różnych złośliwych narzędzi, co pozwala im wykonać następne działania w zainfekowanej sieci LAN, a także uzyskać pełną kontrolę nad siecią poprzez zdobycie uprawnień administratora.
Jedno z takich narzędzi pozwala atakującym pozyskać informacje o komputerach i użytkownikach przechowywane w Active Directory. Kolejne narzędzie umożliwia cyberprzestępcom otwarcie tunelu w sieci wewnętrznej, który służy im do komunikacji z komputerami niepodłączonymi do Internetu. Atakujący wykorzystują także KillDisk, za pomocą którego usuwają ważne pliki z systemu, przez co nie można uruchomić komputera. Dodatkowo narzędzie usuwa pliki o zdefiniowanych rozszerzeniach i w ich miejsce tworzy nowe pliki o identycznej nazwie. Te nowe pliki zawierają jeden z dwóch łańcuchów znaków mrR0b07 (mrrobot) lub fS0cie7y (fsociety) zamiast oryginalnej zawartości. To oczywiste nawiązanie do serialu Mr. Robot – dodatkowo KillDisk wyświetla grafikę nawiązującą do tego serialu. Co ciekawe, nie jest to zdjęcie ukryte w programie, lecz grafika tworzona w czasie rzeczywistym przy pomocy specjalnie do tego celu przygotowanego kodu.
Komunikacja przez aplikację Telegram Messenger
Atakujący komunikują się z zagrożeniem korzystając z aplikacji Telegram Messenger. Ta metoda umożliwia kontrolę nad zainfekowanymi komputerami za pośrednictwem dowolnego urządzenia z zainstalowaną aplikacją Telegram Messenger. Polecenia wydaje się za pośrednictwem czatu. Dzięki temu atakujący mogą pozyskać zrzuty ekranu, informacje o wersji systemu, wysyłać pliki z zainfekowanego urządzenia poprzez czat, pobierać zdjęcia z zainfekowanego systemu i wykonywać dowolne polecenia. Ponadto, złośliwe oprogramowanie automatycznie zapisuje wszystkie pliki przychodzące.