Нацеленная на критическую инфраструктуру группа GreyEnergy, возможно, готовится к разрушительным атакам

Следующая новость

Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении подробностей о преемнике APT-группы BlackEnergy. Группа злоумышленников, которая получила название GreyEnergy, нацелена на шпионаж и разведку и, вполне возможно, готовится к будущим атакам с целью киберсаботажа.

BlackEnergy атакует Украину в течение многих лет. В частности, в декабре 2015 года она вызвала прекращение электроснабжения, оставив без электричества 230 000 человек во время первого в мире отключения электроэнергии в результате кибератаки. Примерно во время этого масштабного инцидента исследователи ESET начали выявлять еще одно семейство вредоносных программ, которое получило название GreyEnergy.

«Мы зафиксировали, что GreyEnergy в течение последних трех лет участвует в атаках на энергетические компании и другие цели особой важности в Украине и Польше», — рассказывают специалисты ESET.

Атака на энергетическую инфраструктуру Украины в 2015 году была последней известной операцией с использованием набора инструментов BlackEnergy. Через некоторое время исследователи ESET зафиксировали новую APT-подгруппу — TeleBots.

TeleBots стала известной благодаря глобальному распространению NotPetya — вредоносного программного обеспечения, которое нарушило глобальные бизнес-операции в 2017 году и привело к убыткам в размере миллиардов долларов США. Как недавно подтвердили исследователи ESET, TeleBots также связана с Industroyer, мощной современной вредоносной программой, нацеленной на промышленные системы управления, которая вызвала второе прекращение электроснабжения в Украине в 2016 году.

«GreyEnergy возникла вместе с TeleBots, но в отличие от последней, деятельность GreyEnergy не ограничивается Украиной и пока не приводила к разрушительным последствиям. Понятно, что группа хочет оставаться незамеченной», — комментируют специалисты ESET.

В соответствии с подробным анализом ESET, вредоносное программное обеспечение GreyEnergy тесно связано с вредоносными программами BlackEnergy и TeleBots. Оно имеет модульную структуру, поэтому его функционал зависит от конкретной комбинации модулей, которые оператор загружает в системы жертв.

Модули этого вредоносного программного обеспечения использовались для шпионажа и разведки. К функционалу модулей входят бэкдор, сбор файлов, осуществление снимков экрана, чтения нажатий клавиатуры, похищение паролей и учетных данных и другое.

«Мы не обнаружили никаких модулей, специально направленных на программное обеспечение промышленных систем управления или устройства ICS. Однако мы зафиксировали, что злоумышленники GreyEnergy стратегически нацеливались на рабочие станции операторов ICS, которые управляют программным обеспечением и серверами SCADA», — объясняют специалисты ESET.

Публикация информации и анализ GreyEnergy специалистами ESET важны для обеспечения защиты от этих атак, а также для лучшего понимания тактики, инструментов и процедур современных APT-групп.

Более подробную информацию, а также идентификаторы компрометации новой угрозы можно найти в документе по ссылке.

Важно отметить, что при анализе исследователями ESET кибератак и групп киберпреступников, связи проводятся на основе технических показателей, таких как сходство кода, общая инфраструктура C&C, цепочки выполнения вредоносных программ и другие доказательства. Поскольку ESET не принимает участия в расследовании причин и экспертизе, специалисты ESET воздерживаются от спекуляций относительно потенциального приписывание атак определенным лицам или государствам.