BlackEnergy APT

На Securelist вышла новая статья, посвященная пресловутому мошенническому инструментарию BlackEnergy, который эксплуатировался группой Sandworm APT, также известной как BE2 APT.

Итак, что же такое BlackEnergy? Будучи изначально преступной программой для DDoS, она превратилась в огромную коллекцию различных инструментов, в настоящее время использующихся для различных APT-действий, в том числе для того, что Курт Баумгартнер и Мария Гарнаева назвали «значимыми геополитическими операциями».

Самое интересное в нем то, что BlackEnergy — модульный инструмент, который включает в себя много разных плагинов с возможностями атаки на множество платформ, в том числе ARM и MIPS. Имеются в нем и скрипты для сетевых устройств Cisco, похитители сертификатов и деструктивные плагины.

Да, именно деструктивные. Некоторые из них явно приспособлены уничтожать жесткие диски путем перезаписи всей информации на них случайным месивом данных.

Специалисты «Лаборатории Касперского» не знают общего числа плагинов, связанных с BlackEnergy (или, точнее, с BlackEnergy 2 и BlackEnergy 3 – известными в настоящее время APT-инструментами). Не знают они и о том, сколько хакерских групп имеют в своем распоряжении BE. Команда Sandworm APT привлекла к себе повышенное внимание из-за своих громких атак на выдающиеся цели, но это не значит, что нет никаких других групп, которые могут использовать те же инструменты прямо сейчас, просто им повезло остаться нераскрытыми.

APT-группа Sandworm/BE2 нападала на крупные цели и явно проявляла недюжинный интерес к промышленным системам контроля. Среди их жертв были:

  • владельцы сайтов производителей энергии;
  • строители энергетических объектов;
  • операторы энергосистем;
  • крупные поставщики и производители тяжелых силовых агрегатов и сопутствующих материалов;
  • инвесторы.

При этом исследователи также отметили, что список целей включает в себя правительственные структуры, риэлторов и технологические компании.

Вполне возможно, что другие группы сейчас проводят более тонкие операции на менее заметных мишенях. BlackEnergy не создавали специально для узконаправленных атак. Если судить по его архитектуре, BlackEnergy является универсальным расширенным набором инструментов.

Самым главным в таких ситуациях является вектор атаки. Из четырех жертв, указанных в исследований, двое пострадали от успешного спиэрфишинга. Кроме того, злоумышленники предъявили эксплойт, для которого не было (и до сих пор нет) CVE, при этом модуль метасплойта был уже доступен.

Это сообщение электронной почты содержало ZIP-архив с файлом с расширением .EXE внутри, который казался не исполняемым. Этот специально сработанный архив эксплуатировал изъян WinRAR, который заставлял файлы в zip-архивах отображаться с другим именем и расширением.

Вторая жертва была скомпрометирована при помощи украденных у первой жертвы учетных данных; кое-какая информация на их машинах был уничтожена, а маршрутизаторы Cisco — взломаны.

Несмотря на то, что третья жертва пострадала тем же путем, что и первая, именно четвертый случай (или, скорее, набор инцидентов, ибо там оказались вовлечены более одной компании), представляется особенно тревожным. Жертвы обнаружили, что программное обеспечение Siemens SCADA в их среде ICS ответственно за загрузку и исполнение связанных с BlackEnergy вредоносных программ.

В целом, исследователи утверждают, что размах вредоносной деятельности представляет новые технические вызовы «в необычных условиях, в том числе в сетях SCADA».

Источник: kaspersky.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s