GreyEnergy csoport - kritikus infrastrukt√ļr√°k a c√©lkeresztben, m√©g nagyobb t√°mad√°sok v√°rhat√≥k

Az ESET felfedezte a BlackEnergy APT-csoport utódját. A kiberbiztonsági cég által GreyEnergy névre keresztelt csoport fŇĎ tevékenysége a kémkedés és felderítés, amely feltehetŇĎen egy késŇĎbbi nagyszabású szabotázsakció elŇĎkészítésére szolgál.

Az Ukrajnát évek óta terrorizáló BlackEnergy 2015 decemberében vált ismerté, amikor 230 ezer embert érintŇĎ áramkimaradást okozott. Ez volt az elsŇĎ bizonyítottan kibertámadás okozta áramszünet. A támadással egy idŇĎben az ESET szakemberei elkezdtek felderíteni egy másik kiberbŇĪnözŇĎi csoportot, a GreyEnergy-t. 

 

"Észrevettük, hogy a GreyEnergy számos energiavállalat elleni támadásban, és más kiemelt célpontok elleni akciókban vett részt Ukrajnában és Lengyelországban az elmúlt három év során” - mondja Anton Cherepanov, az ESET vezetŇĎ biztonsági kutatója, aki a kutatás vezetŇĎje volt.

 

http://www.channelpostmea.com

 

Az Ukrajna elleni 2015-ös kibertámadás volt az utolsó olyan ismert akció, amelynek során a BlackEnergy eszközkészletét használták. Az ESET szakemberei ezt követŇĎen dokumentálták egy új APT alcsoport, a TeleBots mŇĪködését. A TeleBots csoport leginkább a NotPetya, egy 2017-es globális üzleti tevékenységet megzavaró merevlemez-törlŇĎ akció révén ismerhetŇĎ. Ahogy azt az ESET kutatói nemrégiben megerŇĎsítették, a TeleBots az Industroyer-hez is köthetŇĎ, amely a legerŇĎsebb, ipari irányítórendszereket támadó modern kártevŇĎ. Ez a vírus volt felelŇĎs az ukrán fŇĎvárost sújtó 2016-os áramkimaradásért.

 

„A GreyEnergy a TeleBots-szal együtt került felszínre, de a GreyEnergy tevékenysége nem korlátozódik Ukrajnára és eddig még nem okozott károkat. Nyilvánvaló, hogy észrevétlenek szeretnének maradni” – tette hozzá Anton Cherepanov.

 

Az ESET elemzése szerint a GreyEnergy kártevŇĎk szorosan összefüggnek a BlackEnergy és a TeleBots rosszindulatú programokkal. Ezek felépítése moduláris, így a funkcionalitása attól függ, hogy a modulok milyen kombinációját töltik fel az áldozatok rendszereire.

 

Az ESET elemzésében leírt modulokat kémkedésre és felderítésre használták, és többek között hátsóajtó, fájlkicsomagoló, képernyŇĎfelvétel-készítŇĎ, keylogger, jelszavakat és hitelesítŇĎket kiszivárogtató funkciókat foglal magában. 

 

„Nem észleltünk olyan modulokat, amelyek kifejezetten ipari vezérlŇĎrendszerek szoftvereit (Industrial Control Systems – ICS) célozzák. Azonban megfigyeltünk olyan GreyEnergy operátorokat, akik stratégiai céllal támadták a SCADA szoftvereket és szervereket futtató ICS munkaállomásokat” – mondta Anton Cherepanov.

 

Milyen további okok miatt gondolják az ESET kutatói, hogy a GreyEnergy-nek és a BlackEnergy-nek közük van egymáshoz:

  • A GreyEnergy feltŇĪnése egybeesik a BlackEnergy eltŇĪnésével.
  • A GreyEnergy legalább egy áldozatát korábban a BlackEnergy is támadta. Mindkét csoport az energiaszektorban és a kritikus infrastruktúrákban érdekelt, és elsŇĎsorban ukrán, másodsorban pedig lengyel áldozataik vannak.
  • A kártevŇĎk keretrendszere igen hasonló. MindkettŇĎ moduláris és mindkettŇĎ „mini” hátsóajtót telepít, mielŇĎtt megszerzik az admin jogosultságokat és a teljes verziót installálják. 
  • A GreyEnergy által használt összes távoli vezérlŇĎ szerver (C&C, command-and-control) aktív Tor relay volt. A BlackEnergy és az Industroyer esetében is ez történt. Az ESET szakemberei azt feltételezik, hogy ez a csoport által használt egyik operatív biztonsági technika, amelyek révén az üzemeltetŇĎk titkos módon csatlakozhatnak ezekhez a szerverekhez.

 

Az ESET elemzése és az eredmények nyilvánosságra hozatala a GreyEnergy kapcsán kiemelten fontos kiberbŇĪnözŇĎkkel szembeni sikeres védekezéshez, valamint a legfejlettebb APT-csoportok taktikájának, eszközeinek és eljárásainak jobb megértéséhez.

 

További részletek a WeLiveSecurity.com oldalon található angol nyelvŇĪ blogbejegyzésben találhatók. 

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció