Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення деталей щодо наступника APT-групи BlackEnergy. Група зловмисників, яка отримала назву GreyEnergy, націлена на шпигунство й розвідку та, цілком можливо, готується до майбутніх атак із метою кіберсаботажу.
BlackEnergy атакує Україну протягом багатьох років. Зокрема у грудні 2015 року вона спричинила припинення електропостачання, залишивши без електрики 230 тисяч людей під час першого у світі вимкнення електроенергії у результаті кібератаки. Приблизно під час цього масштабного інциденту дослідники ESET почали виявляти ще одне сімейство шкідливих програм, яке отримало назву GreyEnergy.
«Ми зафіксували, що GreyEnergy протягом останніх трьох років бере участь у атаках на енергетичні компанії та інші цілі особливої важливості в Україні та Польщі», — розповідають спеціалісти ESET.
Атака на енергетичну інфраструктуру України в 2015 році була останньою відомою операцією з використанням набору інструментів BlackEnergy. Згодом дослідники ESET зафіксували нову APT-підгрупу —TeleBots.
TeleBots стала відомою завдяки глобальному поширенню NotPetya — шкідливого програмного забезпечення, яке порушило глобальні бізнес-операції в 2017 році та спричинило збитки в розмірі мільярдів доларів США. Як нещодавно підтвердили дослідники ESET, TeleBots також пов’язана з Industroyer, найпотужнішою сучасною шкідливою програмою, націленою на промислові системи управління, яка викликала друге припинення електропостачання в Україні у 2016 році.
«GreyEnergy виникла разом з TeleBots, але на відміну від останньої, діяльність GreyEnergy не обмежується лише Україною і поки не призводила до руйнівних наслідків. Зрозуміло, що група хоче залишатися непоміченою», — коментують спеціалісти ESET.
Відповідно до детального аналізу ESET, шкідливе програмне забезпечення GreyEnergy тісно пов'язане з шкідливими програмами BlackEnergy та TeleBots. Воно має модульну структуру, тому його функціонал залежить від конкретної комбінації модулів, які оператор завантажує до систем жертв.
Модулі цього шкідливого програмного забезпечення використовувались для шпигунства та розвідки. До функціоналу модулів входять бекдор, збір файлів, здійснення знімків екрану, зчитування натиснень клавіатури, викрадення паролів та облікових даних тощо.
«Ми не виявили жодних модулів, спеціально спрямованих на програмне забезпечення промислових систем управління або пристрої ICS. Однак ми зафіксували, що зловмисники GreyEnergy стратегічно націлювалися на робочі станції операторів ICS, які управляють програмним забезпеченням та серверами SCADA», — пояснюють спеціалісти ESET.
Публікація інформації та аналіз GreyEnergy спеціалістами ESET є важливими для забезпеченням захисту від цих атак, а також для кращого розуміння тактики, інструментів та процедур найсучасніших APT-груп.
Детальнішу інформацію, а також ідентифікатори компрометації нової загрози можна знайти у документі за посиланням.
Важливо зазначити, що під час аналізу дослідниками ESET кібератак та груп кіберзлочинців, зв'язки проводяться на основі технічних показників, таких як схожість коду, спільна інфраструктура C&C, ланцюжки виконання шкідливих програм та інші докази. Оскільки ESET не бере участь у розслідуванні причин та експертизі, спеціалісти ESET утримуються від спекуляцій щодо потенційного приписування атак певним особам або державам.