Nul
Hacking gruppen, der tog ned ukrainske elnet er systematisk målrettet kritisk infrastruktur i Ukraine og videre i, hvad sikkerhed forskere mener, kunne være cyber-spionage og rekognoscering forud for fremtidige angreb.
Døbt GreyEnergy af forskere på ESET, som er den gruppe, der menes at have været aktiv i løbet af de sidste tre år, og for at være knyttet til BlackEnergy, angrebet gruppe, hvis handlinger venstre 230,000 mennesker i Ukraine uden elektricitet i December 2015.
Ifølge en analyse af ESET, GreyEnergy er også relateret til Telebots – gruppen bag NotPetya, en ødelæggende angreb, hvor en række Vestlige offentlige sikkerhed organer har tilskrives Ruslands militære efterretningstjeneste, GRU.
Forskere har tidligere forbundet Telebots at Industroyer, en malware-kampagne, der forårsagede en anden strømafbrydelse i Ukraine i 2016.
Men ESET har ikke tilskrives GreyEnergy til en bestemt gruppe eller stat, vises kun bemærke, links bag de forskellige angreb ved, hvad de fulde forskning papir beskriver “som en af de mest farlige APT grupper, der har været terrorisering af Ukraine i de sidste mange år”
I modsætning til disse meget destruktiv og synlige kampagner, GreyEnergy er meget glad for sin virksomhed til et ophold under radaren med angreb med fokus på stealth og en udvalgt gruppe af mål, med indsats af angriberne til at dække deres spor.
De vigtigste mål for denne kampagne er energi selskaber i Ukraine og Polen, med industrial control system arbejdsstationer, der kører SCADA software.
Forskere mener, GreyEnergy at være en efterfølger til BlackEnergy for en række årsager, ikke mindst på grund af stærke arkitektoniske ligheder mellem rammer, som er en af de to former for malware. Både GreyEnergy og BlackEnergy er både modulære og employe en mini bagdør, før admin rettigheder er opnået, og den fulde bagdør er rullet ud.
Se også: Hvad er cyberkrig? Alt, hvad du behøver at vide om den skræmmende fremtidens digitale konflikt
Der er også ligheder i, hvordan de to former for malware bruge ekstern kommando-og kontrol-servere via medie aktiv Tor relæer – forskere peger på, at dette er en operationel sikkerhed teknik, der anvendes af den gruppe, for at sikre skjult aktivitet.
En tredje link er, at det mål af de to kampagner er meget ens – alle opererer inden for energi og sektorer med kritisk infrastruktur, og begge familier af malware, er blevet spottet på systemer i Ukraine og mindst et offer for GreyEnergy havde tidligere været ramt af BlackEnergy.
Forskere bemærk også, at udseendet af GreyEnergy i naturen falder sammen med bortfaldet af BlackEnergy, potentielt, der angiver, at den samme gruppe er tilbøjelige til at være bag begge angreb.
GreyEnergy også viser tegn på at være en evolution af BlackEnergy, med ESET beskriver det som en “mere moderne” værktøjskasse med en større fokus på stealth, med moduler kun skubbet i mål, når det skønnes absolut nødvendigt.
På toppen af, at nogle GreyEnergy moduler er delvis krypteret med AES-256-og nogle forbliver fileless, kun kører i hukommelsen, med den hensigt at hindre analyse og afsløring.
To hjælp af infektion er blevet fundet i naturen – spear-phishing-e-mails, der lokker brugere til at aktivere ondsindede makroer og det kompromis, der af det offentlige-står over for web-servere. Angribere bruge disse sårbare servere for at få adgang til netværk og derefter bevæge sig lateralt på tværs af netværket til de relevante systemer.
Hacking gruppen også beskæftiger offentligt tilgængelige værktøjer såsom Mimikatz, PsExec, WinExe, Nmap til at hjælpe med at udføre ondsindede aktivitet på tværs af målet netværk, mens også resterende under radaren. Mens forskerne ikke link angreb til en bestemt operatør, det er blevet kendt for nation-stat, der er knyttet hackere til at gennemføre kampagner, der bruger dem åbent tilgængelige kits.
“Det er sikkert, at truslen aktører, der er ansvarlige for GreyEnergy er ekstremt farlige i deres vedholdenhed og stealth,” sagde forskning har papir på malware – og det er advaret om, at gruppen er stadig aktiv, og at det måske i forberedelse af kommende sabotage eller om grundlaget for en operation, som løb af nogle andre APT-gruppen.
Der er dog en række ting, en organisation kan gøre for at hjælpe med at undgå at blive offer for den kampagne.
“Brug multi-lagdelte sikkerhedsløsninger, herunder Endpoint-Detection og Svar, 2FA, backups, opdateret og lappet software og uddanne medarbejdere for at ikke at falde bytte til spear-phishing angreb,” sagde ESET forsker Robert Lipovský.
LÆS MERE OM IT-SIKKERHED
Hackere angriber power virksomheder, stjæle kritiske data: Her er hvordan de gør det,Kan russiske hackere være stoppet? Her er, hvorfor det kan tage 20 år [TechRepublic]Gratis, let at bruge, og tilgængelige for alle: Det magtfulde malware gemmer sig i et almindeligt syn på det åbne webUkraine frygter et koordineret hacking angreb fra Rusland [CNET]Industroyer: En tilbundsgående kig på den skyldige bag Ukraine elnettet mørklægning
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0