Украинские энергетические компании подверглись новой волне кибератак

Компания ESET — лидер в области проактивного обнаружения — сообщает о продолжении хакерских атак, направленных на энергетический сектор Украины. 19 января специалисты ESET обнаружили новую волну кибератак, жертвами которых, как и в декабре 2015 года, стали украинские энергетические компании. Но в отличие от предыдущей атаки, которая была осуществлена с помощью угрозы BlackEnergy, на этот раз хакеры использовали новую вредоносную программу, основанную на общедоступном бэкдоре, в использовании которого трудно заподозрить злоумышленников, спонсируемых определенным государством. Данный факт создает дополнительные вопросы об организаторах данных кибер-операций.

Не смотря на использование новой угрозы, непосредственно сценарий осуществления атаки остался неизменным. На электронные адреса потенциальных жертв были отправлены фишинговые письма от имени ОАО «Укрэнерго» с вредоносным XLS файлом во вложении и HTML-контентом со ссылкой на .PNG файл, который находился на удаленном сервере, что позволяло злоумышленникам получать уведомления о том, что письмо было доставлено и открыто потенциальной жертвой.

Прикрепленный Excel файл содержал макрос, который при открытии электронной таблицы инициировал загрузку троянской программы с удалённого сервера. При этом в отличие от предыдущего ряда атак, осуществляемых с помощью BlackEnergy, в этот раз в рамках кибероперации использовались модифицированные версии бэкдора gcat, написанного на языке программирования Python. Данный бэкдор может загружать исполняемые файлы и выполнять их с помощью shell-команд. Наряду с этим, данный бэкдор gcat, может делать скриншоты, осуществлять кражу паролей («кейлоггинг»), а также загружать файлы, удаленные из исходного кода. Для управления бэкдором злоумышленниками использовалась учетная запись Gmail, что значительно осложняет обнаружение данного трафика в сети.

Продукты ESET обнаруживают данный вид угрозы как:

  • VBA/TrojanDropper.Agent.EY
  • Win32/TrojanDownloader.Agent.CBC
  • Python/Agent.N

Данный ряд кибератак на энергетический сектор Украины стал объектом различных дискуссий о том, стала ли на самом деле вредоносная программа причиной отключения электроэнергии или это лишь искусный способ отвода глаз. Специалисты ESET продолжают тщательно изучать данную угрозу и акцентируют внимание пользователей на последствиях вредоносной деятельности бэкдоров, а именно — предоставление злоумышленникам удаленного доступа к инфицированной системе. Что же касается обвинений в сторону России в причастии к осуществлению подобных кибератак, исследователи ESET рекомендуют не спешить делать выводы, основываясь лишь на политической ситуации. На сегодняшний день пока нет никаких доказательств, которые бы могли свидетельствовать о том, кто стоит за данной кибероперацией, а выявленная кибератака является только еще одной причиной проведения тщательного исследования подобных видов угроз.

В связи с предельно высокой активностью угрозы BlackEnergy специалисты ESET настоятельно рекомендуют пользователям придерживаться правил безопасности при работе на компьютере, а также использовать надежные комплексные антивирусные решения (например, ESET Endpoint Security, ESET Smart Security) и все модули защиты, реализованные в них. Очень часто пользователи подвергают себя дополнительному риску, отключая такие функции как:

  • защита документов, обеспечивающая проверку макросов на наличие вредоносного кода;
  • обнаружение потенциально опасного/нежелательного ПО;
  • облачный репутационный сервис ESET LiveGrid.