ESET wskazuje odpowiedzialnych za atak z oprogramowaniem Industroyer. Zagrożenie nie minęło
Specjaliści z firmy ESET przedstawiają interesujące dowody, które wskazują na hakerów odpowiedzialnych za ataki na firmy związane z energetyką. Mowa o szkodliwym oprogramowaniu Industroyer, które swego czasu pozwoliło pozbawić prądu i gazu ponad milion mieszkańców Ukrainy. Dzięki zebranym dowodom ataki przypisano grupie przestępczej TeleBots, a przy okazji wykazano, że jej odłam (na początku działający pod nazwą BlackEnergy) od 2015 roku szpieguje także polskie firmy energetyczne, a tym samym istnieją również powiązania z ransomware NotPetya.
Jak się okazuje, grupa TeleBots próbowała niedawno wykorzystać nowy rodzaj backdoora w oprogramowaniu, które przez firmę ESET wykrywane jest jako Exaramel. Analiza specjalistów wykazała wiele podobieństw z kodem wykorzystanym w oprogramowaniu Industroyer, co pozwoliło przypisać poprzedni atak tej samej grupie przestępczej. Warto przypomnieć, że to szkodliwe oprogramowanie pozwoliło atakującym niespełna dwa lata temu przejąć kontrolę nad protokołami komunikacyjnymi wykorzystywanymi w energetyce i w efekcie pozbawić dostępu do prądu i gazu wielu mieszkańców Ukrainy.
Specjaliści zwracają jednak uwagę także na odłam grupy TeleBots, który funkcjonuje obecnie pod nazwą GreyEnergy (wcześniej BlackEnergy). Jak zaznacza starszy analityk zagrożeń w ESET, Kamil Sadkowski, co najmniej od 2015 roku grupa ta koncentruje się na szpiegowaniu przede wszystkim ukraińskich, ale także polskich firm energetycznych: Zaawansowane ataki ukierunkowane (APT) grupy GreyEnergy polegają na wprowadzaniu złośliwego oprogramowania do komputerów konkretnych firm i instytucji. Instalowane zagrożenia są w stanie wykradać dowolne poufne dane takie jak loginy i hasła, a także wykonywać zrzuty ekranu i przesyłać je na serwery cyberprzestępców – czytamy w komentarzu.
Specjaliści z ESET zwracają uwagę, iż celem GreyEnergy są ataki na stacje robocze nadzorujące przebieg procesów produkcyjnych z wykorzystaniem oprogramowania SCADA. Odnotowywana ostatnio działalność sugeruje natomiast chęć zbadania zabezpieczeń, mechanizmów i struktury sieci w danym przedsiębiorstwie, a to z kolei wyraźna wskazówka, iż grupa może się szykować do przeprowadzenia ataku.
