Wskazano hakerów odpowiedzialnych za ataki na Ukrainę i Polskę
Badacze z firmy ESET odkryli dowody, które przypisują grupie cyberprzestępczej TeleBots ataki związane z ransomwarem Petya/NotPeya oraz słynnym Industroyerem - szkodliwym oprogramowaniem, które pozbawiło ponad milion mieszkańców Ukrainy prądu i gazu. Co więcej, badacze wykazali, że odłam TeleBots, działający pod nazwą GreyEnergy, od 2015 roku szpieguje również polskie firmy energetyczne.
Eksperci dokonali ciekawego odkrycia. Jak wykazały ich najnowsze analizy, grupa cyberprzestępców TeleBots (znana wcześniej jako BlackEnergy) atakująca w przeszłości instytucje finansowe i przemysłowe na Ukrainie, próbowała ostatnio wykorzystać nowy rodzaj backdoora (wykrywanego przez ESET jako Win32/Exaramel). Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, badanie potwierdziło silne podobieństwo kodu Exaramela z kodem backdoora Industroyer, który w 2015 zaatakował elektrownie, wodociągi, czy rozdzielnie gazu na Ukrainie.
Atak pozwolił przejąć kontrolę nad znajdującymi się w podstacjach elektrycznych przełącznikami i wyłącznikami. W tym celu wykorzystywał przemysłowe protokoły komunikacyjne stosowane w infrastrukturze zasilania, systemach kontroli transportu i innych ważnych systemach infrastruktury krytycznej (woda, gaz), które są używane na całym świecie. TeleBots była odpowiedzialna również za zeszłoroczny atak skierowany na ukraińskie firmy i instytucje, w którym cyberprzestępcy wykorzystali złośliwą aktualizację popularnego na Ukrainie programu do rozliczeń finansowych M.E.Doc w celu propagowania zagrożenia ransomware Petya/NotPetya. Efektem ataku było zaszyfrowanie ogromnej ilości komputerów na Ukrainie. Skutki ataku były odczuwalne przez ukraińskie, rosyjskie oraz polskie przedsiębiorstwa i spowodowały gigantyczne straty finansowe.
GreyEnergy atakuje także w Polsce
Eksperci wykazali, że z cyberprzestępczej grupy BlackEnergy wyrósł nowy odłam - GreyEnergy, który jest ściśle powiązany także z TeleBots, a tym samy z zagrożeniem NotPetya. Jak wskazuje Kamil Sadkowski, grupa GreyEnergy, co najmniej od 2015 roku, koncentruje się na szpiegowaniu ukraińskich i polskich firm energetycznych.
- Zaawansowane ataki ukierunkowane (APT) grupy GreyEnergy polegają na wprowadzaniu złośliwego oprogramowania do komputerów konkretnych firm i instytucji. Instalowane zagrożenia są w stanie wykradać dowolne poufne dane takie jak loginy i hasła, a także wykonywać zrzuty ekranu i przesyłać je na serwery cyberprzestępców – wyjaśnia Sadkowski.
Jak wskazuje ekspert, celem strategicznym GreyEnergy są ataki na stacje robocze kontroli przemysłowej (ICS) nadzorujące przebieg procesów produkcyjnych za pomocą oprogramowania SCADA. Wykryta aktywność hakerów świadczy o chęci zbadania zabezpieczeń i struktury sieci informatycznych należących do przedsiębiorstw sektora energetycznego. Według ekspertów z ESET, działania te mogą sygnalizować zamiar przeprowadzania ataku na wspomniane sieci.
