Jak się okazuje, grupa TeleBots próbowała niedawno wykorzystać nowy rodzaj backdoora w oprogramowaniu, które przez firmę ESET wykrywane jest jako Exaramel. Analiza specjalistów wykazała wiele podobieństw z kodem wykorzystanym w oprogramowaniu Industroyer, co pozwoliło przypisać poprzedni atak tej samej grupie przestępczej. Warto przypomnieć, że to szkodliwe oprogramowanie pozwoliło atakującym niespełna dwa lata temu przejąć kontrolę nad protokołami komunikacyjnymi wykorzystywanymi w energetyce i w efekcie pozbawić dostępu do prądu i gazu wielu mieszkańców Ukrainy.
Specjaliści zwracają jednak uwagę także na odłam grupy TeleBots, który funkcjonuje obecnie pod nazwą GreyEnergy (wcześniej BlackEnergy). Jak zaznacza starszy analityk zagrożeń w ESET, Kamil Sadkowski, co najmniej od 2015 roku grupa ta koncentruje się na szpiegowaniu przede wszystkim ukraińskich, ale także polskich firm energetycznych: Zaawansowane ataki ukierunkowane (APT) grupy GreyEnergy polegają na wprowadzaniu złośliwego oprogramowania do komputerów konkretnych firm i instytucji. Instalowane zagrożenia są w stanie wykradać dowolne poufne dane takie jak loginy i hasła, a także wykonywać zrzuty ekranu i przesyłać je na serwery cyberprzestępców – czytamy w komentarzu.
Specjaliści z ESET zwracają uwagę, iż celem GreyEnergy są ataki na stacje robocze nadzorujące przebieg procesów produkcyjnych z wykorzystaniem oprogramowania SCADA. Odnotowywana ostatnio działalność sugeruje natomiast chęć zbadania zabezpieczeń, mechanizmów i struktury sieci w danym przedsiębiorstwie, a to z kolei wyraźna wskazówka, iż grupa może się szykować do przeprowadzenia ataku.