GreyEnergy szpieguje polskie firmy energetyczne

Przeczytaj także: Kolejne ataki na urządzenia mobilne

Z badań ESET wynika, że ugrupowanie TeleBots (znane niegdyś jako BlackEnergy), atakujące w przeszłości ukraińskie instytucje finansowe i przemysłowe, próbowało ostatnio wykorzystać nowy rodzaj backdoora (wykrywanego przez ESET jako Win32/Exaramel).

Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, prowadzone badania pozwoliły stwierdzić, że kod Exaramela do złudzenia przypomina kod backdoora Industroyer, który przed trzema laty uderzył w elektrownie, wodociągi, czy rozdzielnie gazu na Ukrainie. Na skutek ataku cyberprzestępcom udało się przejąć kontrolę nad znajdującymi się w podstacjach elektrycznych przełącznikami i wyłącznikami. Wykorzystano w tym celu przemysłowe protokoły komunikacyjne stosowane w infrastrukturze zasilania, systemach kontroli transportu i innych ważnych systemach infrastruktury krytycznej (woda, gaz), które są używane na całym świecie. Grupie TeleBots przypisuje się również ubiegłoroczny atak wymierzony ukraińskie firmy i instytucje, w którym cyberprzestępcy wykorzystali złośliwą aktualizację popularnego na Ukrainie programu do rozliczeń finansowych M.E.Doc w celu propagacji zagrożenia ransomware Petya/NotPetya. Efektem ataku było zaszyfrowanie ogromnej ilości komputerów na Ukrainie. Skutki ataku były odczuwalne przez ukraińskie, rosyjskie oraz polskie przedsiębiorstwa i spowodowały gigantyczne straty finansowe.

Nowy odłam TeleBots – GreyEnergy atakuje polkie firmy energetyczne

Eksperci ESET wykazali, że z cyberprzestępczej grupy BlackEnergy wyrósł nowy odłam - GreyEnergy, który jest ściśle powiązany także z TeleBots, a tym samy z zagrożeniem NotPetya. Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, grupa GreyEnergy, co najmniej od 2015 roku, koncentruje się na szpiegowaniu ukraińskich i polskich firm energetycznych.

- Zaawansowane ataki ukierunkowane (APT) grupy GreyEnergy polegają na wprowadzaniu złośliwego oprogramowania do komputerów konkretnych firm i instytucji. Instalowane zagrożenia są w stanie wykradać dowolne poufne dane takie jak loginy i hasła, a także wykonywać zrzuty ekranu i przesyłać je na serwery cyberprzestępców – wyjaśnia Sadkowski.

Jak wskazuje ekspert, celem strategicznym GreyEnergy są ataki na stacje robocze kontroli przemysłowej (ICS) nadzorujące przebieg procesów produkcyjnych za pomocą oprogramowania SCADA. Wykryta aktywność hakerów świadczy o chęci zbadania zabezpieczeń i struktury sieci informatycznych należących do przedsiębiorstw sektora energetycznego. Według ekspertów z ESET działania te mogą sygnalizować zamiar przeprowadzania ataku na wspomniane sieci.