GreyEnergy: Nouvelle campagne de malware cible les infrastructures essentielles des sociétés

0
178

Zero

Le piratage du groupe qui a pris ukrainien des grilles d’alimentation est de cibler systématiquement les infrastructures critiques en Ukraine et au-delà de ce que les chercheurs en sécurité crois pourrait être cyber-espionnage et de la reconnaissance de l’avance de futures attaques.

Surnommé GreyEnergy par des chercheurs d’ESET, le groupe est soupçonné d’avoir été actif au cours des trois dernières années et d’être lié à BlackEnergy, le groupe d’attaque dont les actions gauche de 230 000 personnes en Ukraine sans l’électricité en décembre 2015.

Selon l’analyse par ESET, GreyEnergy est également liée à Telebots – le groupe derrière NotPetya, une attaque destructrice qui un certain nombre de gouvernements Occidentaux, les agences de sécurité ont attribué à la Russie le service de renseignement militaire, le GRU.

Les chercheurs ont précédemment lié Telebots à Industroyer, une campagne de malwares qui a provoqué une deuxième panne de courant, en Ukraine, en 2016.

Toutefois, ESET n’a pas attribué GreyEnergy à un groupe particulier ou de l’état, uniquement en notant les liens derrière les diverses attaques par ce que l’article de recherche décrit comme “l’une des plus dangereuses APT groupes, qui a été à terroriser l’Ukraine depuis plusieurs années.”

À la différence de ces très destructrice et visible campagnes, GreyEnergy est très soucieux de son activité à rester sous le radar avec des attaques en se concentrant sur la furtivité et un groupe de cibles, avec les efforts déployés par les attaquants pour couvrir leurs traces.

Les principaux objectifs de cette campagne sont les sociétés d’énergie en Ukraine et en Pologne, avec des industriels système de contrôle des postes de travail exécutant le logiciel SCADA.

Les chercheurs croient que GreyEnergy être un successeur à BlackEnergy pour un certain nombre de raisons, notamment en raison de la forte architecturale des similitudes entre les cadres des deux formes de logiciels malveillants. Les deux GreyEnergy et BlackEnergy sont modulaires et les deux employe un mini porte dérobée avant des droits d’administrateur sont obtenus et de la pleine backdoor est déployé.

Voir aussi: qu’est-Ce que la cyberguerre? Tout ce que vous devez savoir à propos de l’avenir inquiétant de conflit numérique

Il y a aussi des similitudes dans la façon dont les deux formes de logiciels malveillants, utilisation de la commande à distance et le contrôle des serveurs par l’intermédiaire de active les relais Tor – chercheurs suggèrent que c’est une sécurité opérationnelle de la technique utilisée par le groupe afin d’assurer une activité secrète.

Un troisième lien est que les objectifs des deux campagnes sont très similaires fonctionnent tous sur l’énergie et les secteurs des infrastructures essentielles et les deux familles de logiciels malveillants ont été repérés sur les systèmes en Ukraine et au moins une victime de GreyEnergy avait déjà été ciblés par BlackEnergy.

Les chercheurs notent également que l’apparition de GreyEnergy dans la nature coïncide avec la disparition de BlackEnergy, potentiellement indiquant que le même groupe est susceptible d’être derrière les attaques.

GreyEnergy montre aussi des signes de l’évolution de BlackEnergy, avec ESET le décrivant comme un “plus moderne” boîte à outils avec un plus grand accent sur la furtivité, avec des modules poussés à la cible, quand il le juge absolument nécessaire.

En plus de cela, certains GreyEnergy modules sont partiellement cryptées à l’aide de l’algorithme AES-256 et certains restent fileless, seulement en cours d’exécution dans la mémoire, avec l’intention d’entraver l’analyse et la détection.

Deux moyens de l’infection ont été observés dans la nature – spear-phishing e-mails qui leurre les utilisateurs en leur permettant malveillants macros et la compromission de serveurs web destinés au public. Les attaquants utilisent ces serveurs vulnérables d’avoir accès à des réseaux à se déplacer latéralement à travers le réseau de systèmes pertinents.

Le piratage groupe emploie également à disposition du public des outils tels que Mimikatz, PsExec, WinExe, Nmap pour l’aider à mener des activités malveillantes à travers les réseaux ciblés, tout en restant sous le radar. Tandis que les chercheurs n’ont pas un lien les attaques d’un opérateur particulier, il est connu de l’état-nation liée pirates pour mener des campagnes à l’aide de ces ouvertement des kits disponibles.

“Il est certain que la menace acteurs responsables de la GreyEnergy sont extrêmement dangereux, de leur persistance et de la furtivité,” dit le document de recherche sur les logiciels malveillants et il a averti que le groupe est toujours actif et qu’il est peut-être en préparation de futures attaques de sabotage ou de jeter les bases d’une opération que certains autres APT groupe.

Cependant, il existe un certain nombre de choses d’une organisation peut faire pour aider à éviter de tomber victime de la campagne.

“L’utilisation de multi-couches de solutions de sécurité, y compris le point de Terminaison de Détection et d’Intervention, 2FA, sauvegardes, mises à jour et corrigée du logiciel, et de sensibiliser les employés à ne pas tomber en proie à de lance des attaques d’hameçonnage”, a déclaré ESET chercheur Robert Lipovský.

LIRE PLUS SUR LA CYBER-SÉCURITÉ

Les pirates attaquent les compagnies d’électricité, de voler des données critiques: Voici comment ils le fontPeut hackers russes, être arrêté? Voici pourquoi il peut prendre 20 ans [TechRepublic]Gratuit, facile à utiliser, et pour tout le monde: Le puissant malware caché à la vue de tous sur le web ouvertl’Ukraine craint une coordonnée de piratage attaque de la Russie [CNET]Industroyer: Un regard en profondeur sur le coupable derrière l’Ukraine réseau électrique du blackout

Rubriques Connexes:

De sécurité de la TÉLÉVISION

La Gestion Des Données

CXO

Les Centres De Données

0