GreyEnergy готовится к разрушительным атакам в Украине

Компания ESET сообщает об обнаружении подробностей о преемнике APT-группы BlackEnergy. Группа злоумышленников, которая получила название GreyEnergy, нацелена на шпионаж и разведку и, вполне возможно, готовится к будущим атакам с целью киберсаботажа. Основной удар будет нанесён по энергетическим объектам в Украине, считает HiTech.Expert.

GreyEnergy ESET

BlackEnergy атакует нашу страну в течение многих лет. В частности, в декабре 2015 года она вызвала прекращение электроснабжения, оставив без электричества 230 тысяч человек во время первого в мире отключения электроэнергии в результате кибератаки. Примерно во время этого масштабного инцидента исследователи ESET начали выявлять еще одно семейство вредоносных программ, которое получило название GreyEnergy.

«Мы зафиксировали, что GreyEnergy в течение последних трех лет участвует в атаках на энергетические компании и другие цели особой важности в Украине и Польше», — рассказывают специалисты ESET.

Атака на энергетическую инфраструктуру Украины в 2015 году была последней известной операцией с использованием набора инструментов BlackEnergy. Через некоторое время исследователи ESET зафиксировали новую APT-подгруппу — TeleBots.

TeleBots стала известной благодаря глобальному распространению NotPetya — вредоносного программного обеспечения, которое нарушило глобальные бизнес-операции в 2017 году и привело к убыткам в размере миллиардов долларов США. Как недавно подтвердили исследователи ESET, TeleBots также связана с Industroyer, мощной современной вредоносной программой, нацеленной на промышленные системы управления, которая вызвала второе прекращение электроснабжения в Украине в 2016 году.

GreyEnergy ESET

«GreyEnergy возникла вместе с TeleBots, но в отличие от последней, деятельность GreyEnergy не ограничивается Украиной и пока не приводила к разрушительным последствиям. Понятно, что группа хочет оставаться незамеченной», — комментируют специалисты ESET.

В соответствии с подробным анализом ESET, вредоносное программное обеспечение GreyEnergy тесно связано с вредоносными программами BlackEnergy и TeleBots. Оно имеет модульную структуру, поэтому его функционал зависит от конкретной комбинации модулей, которые оператор загружает в системы жертв.

Модули этого вредоносного программного обеспечения использовались для шпионажа и разведки. К функционалу модулей входят бэкдор, сбор файлов, осуществление снимков экрана, чтения нажатий клавиатуры, похищение паролей и учетных данных и другое.

«Мы не обнаружили никаких модулей, специально направленных на программное обеспечение промышленных систем управления или устройства ICS. Однако мы зафиксировали, что злоумышленники GreyEnergy стратегически нацеливались на рабочие станции операторов ICS, которые управляют программным обеспечением и серверами SCADA», — объясняют специалисты ESET.

Публикация информации и анализ GreyEnergy специалистами ESET важны для обеспечения защиты от этих атак, а также для лучшего понимания тактики, инструментов и процедур современных APT-групп.

Важно отметить, что при анализе исследователями ESET кибератак и групп киберпреступников, связи проводятся на основе технических показателей, таких как сходство кода, общая инфраструктура C&C, цепочки выполнения вредоносных программ и другие доказательства. Поскольку ESET не принимает участия в расследовании причин и экспертизе, специалисты ESET воздерживаются от спекуляций относительно потенциального приписывание атак определенным лицам или государствам.

Однако, анализируя объекты атак, и что они осуществляются именно в нашей стране, становится абсолютно очевидно, что кибератаки являются ещё одним оружием Кремля в войне против Украины.

Смотрите, на чем наращивает доходы Укртелеком. Еще недавно Apple представила iPad Pro с тонкими рамками и Apple Pencil, а ESET выпустила 12 версию Internet Security и NOD32 Antivirus.

-->