Výskumníci bezpečnostnej spoločnosti ESET identifikovali a analyzovali dôkazy spájajúce neslávne známu kybernetickú skupinu TeleBots s nebezpečným škodlivým kódom Industroyer. Jeho cieľom bolo narušiť chod kritickej infraštruktúry a v roku 2016 zapríčinil mohutný výpadok elektrickej energie v Kyjeve, hlavnom meste Ukrajiny.
Skupina TeleBots demonštrovala svoje schopnosti s ransomwarom NotPetya a škodlivým kódom BlackEnergy. NotPetya v roku 2017 infikoval napríklad finančný a energetický sektor primárne na Ukrajine. Podarilo sa mu to cez škodlivú aktualizáciu účtovného softvéru M. E. Doc, ktorý je populárny vo viacerých segmentoch na Ukrajine. BlackEnergy zase útočníci použili pri vôbec prvom výpadku elektrickej energie spôsobenom škodlivým kódom. Ten 23. decembra 2015 obral o elektrickú energiu asi 700-tisíc obyvateľov Ivanofrankivskej oblasti. Tento útok predchádzal výpadku, ktorý o rok neskôr spôsobil škodlivý kód Industroyer.
„Špekulácie medzi prepojením škodlivého kódu Industroyer a skupinou TeleBots sa objavili krátko po tom, čo Industroyer napadol elektrickú infraštruktúru Ukrajiny“ vysvetľuje Anton Cherepanov, výskumník škodlivého kódu zo spoločnosti ESET, ktorý viedol výskum oboch kybernetických útokov. „Nikto však nebol schopný na verejnosti prezentovať usvedčujúci dôkaz. Až doteraz,“ dodal Cherepanov.
V apríli 2018 ESET objavil novú aktivitu skupiny TeleBots, pokus o nasadenie nového typu backdoor trójskeho koňa, ktorý ESET deteguje ako Exaramel. Podľa analýzy ESET je tento backdoor vylepšenou verziou hlavného backdooru škodlivého kódu Industroyer a teda prvým dôkazom o prepojení tohto škodlivého kódu s kybernetickou skupinou TeleBots.
Exaramel bol nájdený v organizácii, ktorá nie je priemyselným podnikom. ESET svoje zistenia zdieľal s ukrajinskými orgánmi činnými v trestnom konaní a vďaka tejto spolupráci bol útok úspešne identifikovaný a zastavený. Zaujímavosťou je, že riadiace a kontrolné servery škodlivého kódu napodobňovali domény spoločnosti ESET. „Je potrebné podotknúť, že tieto útočníkmi ovládané servery v žiadnom prípade nemajú nič spoločné s legitímnou serverovou infraštruktúrou spoločnosti ESET,“ dopĺňa Róbert Lipovský, ďalší z výskumníkov škodlivého kódu zo spoločnosti ESET, ktorý na analýze pracoval.
„Odhalenie backdoor trójskeho koňa Exaramel je dôkazom, že skupina Telebots je aktívna aj v roku 2018 a útočníci neustále vylepšujú svoje nástroje aj taktiku. Túto kybernetickú skupinu budeme sledovať aj naďalej“ uzavrel Cherepanov.
Viac informácií o analýze nájdete na blogu spoločnosti ESET WeLiveSecurity.com.
O spoločnosti ESET
Spoločnosť ESET už vyše 30 rokov vyvíja popredný bezpečnostný softvér pre firmy i domácich používateľov na celom svete. Vďaka riešeniam chrániacim koncové a mobilné zariadenia, servery, šifrovaniu a dvojfaktorovej autentifikácii umožňuje firmám a organizáciám využívať plný potenciál ich technológií. ESET drží rekord v počte VB100 ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia. Týždenník Trend ocenil ESET päťkrát titulom Firma roka.
ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Mníchove, Nemecko; Bournemouthe, Veľká Británia; San Diegu, USA; Toronte, Kanada; Buenos Aires, Argentína; Sydney, Austrália, Singapure a japonskom Tokiu. Výskumné a vývojové centrá sú okrem Bratislavy, Košíc, Žiliny, Prahy a Brna aj v poľskom Krakove, britskom Tauntone, kanadskom Montreale a rumunskom Jasy. ESET má zastúpenie vo viac ako 200 krajinách a územiach sveta.