Плагины к BlackEnergy атакуют аппаратуру Siemens

Центр глобальных исследований и анализа (Global Research and Analysis Team, GReAT) «Лаборатории Касперского» опубликовал отчет об исследовании нескольких необычных плагинов к зловреду BlackEnergy 2, служащих для атак на оборудование производства компании Siemens. Некоторые из рассмотренных плагинов продемонстрировали необычные приемы для затруднения обнаружения их деятельности и замедления анализа.

Наиболее опасным авторы отчета, аналитики Курт Баумгартнер (Kurt Baumgartner) и Мария Гарнаева, назвали деструктивный плагин, имеющий обозначение dstr. Данный плагин предназначен для работы в среде Windows и используется для уничтожения информации путем перезаписи данных, хранящихся на жестком диске. Аналитики отмечают, что он может применяться как для сокрытия следов деятельности BlackEnergy 2, так и для нанесения прямого ущерба жертве, наподобие зловреда-стирателя Destover, атаковавшего сеть Sony Pictures Entertainment.

Плагин dstr устроен иначе, чем Destover, Shamoon и другие известные ранее зловреды-стиратели. Вместо использования коммерческих драйверов EldoS RawDisk для уничтожения данных разработчики BE2 написали собственные процедуры для низкоуровневой работы с жестким диском. Но более всего тревожит в dstr его нацеленность не на слабозащищенные офисные рабочие станции, а на промышленные системы автоматизированного управления. Кроме того, плагин способен уничтожать данные как в режиме пользователя, так и в режиме ядра, для чего содержит и библиотеку win32, и драйвер win64, оба шифрованные по алгоритму RC4.

Второй исследованный плагин, имеющий обозначение grc, предназначен для создания резервного канала связи к Google Plus. Аналитики «Лаборатории Касперского» считают, что этот канал используется для сокрытия факта связи с сервером управления и контроля зловреда при работе в сетях, трафик в которых отслеживается специализированными защитными инструментами.

Плагин использует стандартный Windows-сервис HTTP для поддержания HTTPS-сессии, подключаясь к определенному ID Google Plus в поисках PNG-файла. Обнаружив и загрузив данный файл, он анализирует его с помощью функций GDI+. Искомый плагином файл содержит не изображение, а зашифрованный файл конфигурации BlackEnergy 2, точно такой же, какой передается по основному каналу связи зловреда с сервером.

Еще один плагин, usb, служит для сбора информации посредством шины USB. Он считывает содержимое всех подключенных USB-накопителей, сохраняет все данные в текстовом файле, упаковывает его и передает зловреду BlackEnergy 2. Как отметили Баумгартнер и Гарнаева, «этот плагин, вероятно, является первым случаем внедрения техник BadUSB в коммерчески доступного зловреда, перепрофилированного для APT-атак».

Плагин bios предназначен для сбора низкоуровневой информации о системной плате и ее прошивке и использует для этого WMI, CPUDI и win32 API. Плагин не меняет своего поведения в зависимости от собранной информации, а лишь отправляет информацию злоумышленникам, что оставляет несколько возможностей:

  • злоумышленники пытаются таким образом избежать сэндбоксов и систем-ловушек, используя собранные данные для идентификации системы;
  • злоумышленники имеют предварительно собранные данные о системе, которую атакуют вплоть до аппаратного обеспечения. Или же у них есть соображения касательно того, какую аппаратуру они ожидают или какая им интересна. В случае автоматизированных систем управления и SCADA (от англ. supervisory control and data acquisition — «диспетчерское управление и сбор данных») эти данные могут представлять большую ценность;
  • злоумышленники не знают ничего о сети, в которую проникают. Они собирают эту информацию для лучшего понимания, где именно оказался зловред, и планирования следующих шагов.

Аналитики перечислили основные цели хакеров, стоящих за BE2. В первую очередь они фокусируются на исследовательских учреждениях и объектах электроэнергетики, атакуя системы Siemens Simatic WinCC. После заражения они пытаются вынудить процесс ccprojectmgr.exe загрузить и запустить определенную полезную нагрузку BlackEnergy 2. Судя по различному таймингу в разных случаях заражений атаки, скорее всего, не автоматизированы и управляются вручную.

Источник: threatpost.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s