Nul
Het hacken van de groep die won oekraïense elektriciteitsnetten is systematisch targeting kritieke infrastructuur in Oekraïne en daarbuiten in wat security-onderzoekers geloven kon worden cyber spionage en verkenning vooruit op toekomstige aanvallen.
Nagesynchroniseerde GreyEnergy door onderzoekers van ESET, de groep wordt verondersteld om actief geweest in de afgelopen drie jaar en worden gekoppeld aan BlackEnergy, de aanval van de groep waarvan de acties in de linker 230.000 mensen in Oekraïne zonder elektriciteit in December 2015.
Volgens de analyse door ESET, GreyEnergy is ook in verband met Telebots – de groep achter NotPetya, een vernietigende aanval die een aantal Westerse regeringen veiligheidsdiensten hebben toegeschreven aan de russische militaire inlichtingendienst, de GRU.
Onderzoekers hebben eerder gekoppeld Telebots te Industroyer, een malware-campagne met als gevolg een tweede stroomstoring in Oekraïne in 2016.
Echter, ESET niet toegeschreven GreyEnergy tot een bepaalde groep of staat, alleen het noteren van de links achter de verschillende aanvallen door wat de volledige research paper beschrijft “als een van de meest gevaarlijke APT groepen die zijn terroriseren Oekraïne de laatste jaren”
In tegenstelling tot deze zeer destructieve en zichtbaar campagnes, GreyEnergy erg graag voor de activiteit te blijven onder de radar met aanvallen gericht op stealth en een selecte groep van slachtoffers, met de inspanningen van de aanvallers hun sporen te verbergen.
De belangrijkste doelstellingen voor deze campagne zijn energie bedrijven in de Oekraïne en Polen, met industriële controle systeem werkstations met SCADA software.
Onderzoekers geloven GreyEnergy om een opvolger te BlackEnergy voor een aantal redenen, niet in het minst vanwege de sterke architectonische overeenkomsten tussen de kaders van de twee vormen van malware. Zowel GreyEnergy en BlackEnergy zijn modulair en zowel de persoonlijke bijdragen van een mini-backdoor voor admin rechten zijn verkregen en de volledige backdoor is uitgerold.
Zie ook: Wat is een cyberoorlog? Alles wat u moet weten over de angstaanjagende toekomst van digitale conflict
Er zijn ook overeenkomsten in de manier waarop de twee vormen van malware gebruik van remote command en control-servers via het medium van de werkzame Tor relais – onderzoekers suggereren dat dit een operationele veiligheid techniek die gebruikt wordt door de groep om ervoor te zorgen geheime activiteiten.
Een derde link is dat de doelstellingen van de twee campagnes zijn zeer vergelijkbaar met werken in de energie-en kritieke sectoren van de infrastructuur en de beide families van malware gevonden op systemen in Oekraïne en ten minste een slachtoffer van GreyEnergy had eerder al het doelwit van BlackEnergy.
De onderzoekers ook rekening mee dat het uiterlijk van GreyEnergy in het wild samenvalt met het verdwijnen van BlackEnergy, potentieel aangeeft dat het dezelfde groep is waarschijnlijk achter beide aanslagen.
GreyEnergy vertoont ook tekenen van een evolutie van BlackEnergy, met ESET beschrijft het als een “moderne” toolkit met een grotere focus op stealth, met modules alleen geduwd om de doelen, wanneer zij dit absoluut noodzakelijk is.
Op de top van dat, wat GreyEnergy modules zijn gedeeltelijk versleuteld met behulp van AES-256 en sommige blijven fileless, alleen uitgevoerd in het geheugen, met de bedoeling een hinderpaal te vormen voor de analyse en detectie.
Twee manieren van besmetting zijn in het wild gezien – spear-phishing e-mails die gebruikers verleiden zodat schadelijke macro ‘ s en het compromis van het openbare web servers. Aanvallers gebruiken deze kwetsbare servers om toegang te krijgen tot netwerken, dan verplaatsen naar lateraal over het netwerk van de relevante systemen.
Het hacken van de groep maakt ook gebruik van publiek beschikbare hulpmiddelen zoals Mimikatz, PsExec, WinExe, Nmap te helpen verrichten van schadelijke activiteiten over de doel-netwerken, terwijl ook nog steeds onder de radar. Terwijl onderzoekers geen link de aanvallen op een bepaalde operator, het is al bekend voor de natie-staat, gekoppeld hackers te voeren campagnes met behulp van deze openlijk verkrijgbare kits.
“Het is zeker dat de dreiging actoren die verantwoordelijk zijn voor GreyEnergy zijn zeer gevaarlijk in hun persistentie en stealth,” zei de research paper op de malware – en het is gewaarschuwd dat de groep is nog steeds actief is en dat het eventueel in de voorbereiding van toekomstige sabotage, aanslagen of het leggen van de basis voor een operatie uitgevoerd door een andere APT groep.
Echter, er zijn een aantal dingen die een organisatie kan doen om te helpen voorkomen dat u het slachtoffer te worden van de campagne.
“Gebruik van multi-layered security-oplossingen, inclusief Eindpunt Detectie en Reactie, 2FA, back-ups, bijgewerkt en gecorrigeerd software en het opleiden van medewerkers om niet ten prooi te vallen van spear-phishing aanvallen,” zei ESET onderzoeker Robert Lipovský.
LEES MEER OVER CYBER SECURITY
Hackers vallen energiebedrijven, het stelen van kritische gegevens: Hier is hoe ze het doen,Kan de russische hackers worden gestopt? Hier is de reden waarom het misschien wel 20 jaar [TechRepublic]Gratis, makkelijk te gebruiken, en voor iedereen beschikbaar: De krachtige malware te verbergen in het zicht op het open webOekraïne vreest een gecoördineerde hack aanval van Rusland [CNET]Industroyer: Een diepgaande blik op de dader achter Oekraïne elektriciteitsnet blackout
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0