Наследник BlackEnergy атакует энергетические предприятия Украины и Польши
Киберпреступная группировка инфицировала новейшей вредоносной программой GreyEnergy системы трех энергетических компаний Украины и Польши в рамках подготовки к будущим разрушительным атакам. Специалисты ESET, обнаружившие новую кампанию, характеризуют группировку GreyEnergy как «одну из наиболее опасных APT-групп, терроризирующих Украину последние несколько лет». Хотя исследователи не связывают GreyEnergy с каким-либо государством, отмечается, что функционал вредоносной программы схож с ПО BlackEnergy, ранее использовавшимся в атаках на украинский энергетический сектор.
По их мнению, GreyEnergy может считаться наследницей BlackEnergy по ряду причин: оба семейства обладают сходной модульной структурой, используют похожий метод связи с управляющими серверами через узлы Tor и атакуют компании, имеющие отношение к энергетической сфере и критической инфраструктуре (оба семейства были замечены на системах украинских энергетических предприятий, и по крайней мере одна из жертв GreyEnergy была заражена BlackEnergy). Как отмечается, появление GreyEnergy совпадает с периодом исчезновения BlackEnergy, это может говорить о том, что организатором обеих кампаний является одна и та же группировка.
Вредоносное ПО GreyEnergy распространяется двумя методами: посредством фишинговых писем и через скомпрометированные публично доступные web-серверы, используемые злоумышленниками для проникновения в сети и получения доступа к системам. С помощью GreyEnergy киберпреступники собирают конфиденциальную информацию, такую как учетные данные. Кроме прочего, группировка применяет общедоступные инструменты, например, Mimikatz, PsExec, WinExe, Nmap и пр. для осуществления вредоносной деятельности в сетях. В основном участников группы интересуют ключевые системы компаний, в частности, компьютеры, используемые для управления промышленными процессами.
Эксперты не раскрыли названия пострадавших фирм. Представители Киберполиции Украины подтвердили факт осуществления атак. Польские власти никак не прокомментировали ситуацию.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш