Noll
Hacka gruppen som tog ner ukrainska elnät är systematiskt inriktning på kritisk infrastruktur i Ukraina och därefter i vad säkerhet forskare tror kan vara it-spionage och spaning inför framtida attacker.
Dubbade GreyEnergy av forskare vid ESET, gruppen tros ha varit aktiv under de senaste tre åren och vara kopplad till BlackEnergy, attack-gruppen, vars åtgärder vänster 230 000 personer i Ukraina utan el i December 2015.
Enligt analys av ESET, GreyEnergy är också relaterad till Telebots – gruppen bakom NotPetya, en destruktiv attack som ett antal Västerländska regeringens säkerhetsorgan har hänföras till den ryska militära underrättelsetjänsten GRU.
Forskare har tidigare länkat Telebots att Industroyer, en malware kampanj som orsakade en andra strömavbrott i Ukraina i år 2016.
Men ESET har inte tillskrivs GreyEnergy till en viss grupp eller stat, bara notera länkarna bakom attackerna av vad den fullständiga uppsatsen beskrivs “som en av de mest farliga APT grupper som har terroriserat Ukraina för flera år”
Till skillnad från dessa mycket destruktiva och synliga kampanjer, GreyEnergy är mycket angelägen för sin verksamhet att stanna under radarn med attacker med fokus på stealth och en utvald grupp av mål, med insatser av angripare för att täcka sina spår.
De viktigaste målen för denna kampanj är energi företag i Ukraina och Polen, med industriella styrsystem arbetsstationer som kör SCADA-mjukvara.
Forskare tror GreyEnergy att vara en efterföljare till BlackEnergy för ett antal skäl, inte minst på grund av starka arkitektoniska likheter mellan de ramar som de två formerna av skadlig kod. Både GreyEnergy och BlackEnergy är modulära och både mellan en mini bakdörr innan admin rättigheter som erhålls och full bakdörr rullas ut.
Se även: Vad är cyberkrig? Allt du behöver veta om den skrämmande framtiden för digital konflikt
Det finns också likheter i hur de två formerna av skadlig kod som använder remote command and control-servrar via medium för verksamma Tor reläer – forskare menar att detta är en operativ säkerhet teknik som används av koncernen för att säkerställa en dold verksamhet.
En tredje länken är att målen för de två kampanjerna är mycket lika – alla är verksamma inom energi och kritisk infrastruktur och både familjer av skadlig kod har upptäckts på system i Ukraina och minst ett offer för GreyEnergy hade tidigare letts av BlackEnergy.
Forskarna noterar också att uppkomsten av GreyEnergy i det vilda sammanfaller med försvinnandet av BlackEnergy, potentiellt vilket indikerar att samma grupp är sannolikt att ligga bakom båda attackerna.
GreyEnergy visar också tecken på att en utveckling av BlackEnergy, med ESET beskriver det som en “modernare” verktygslåda med ett större fokus på smygande, med moduler bara sköt till mål när det anses absolut nödvändigt.
På toppen av det, vissa GreyEnergy moduler som delvis är krypterat med AES-256 och några kvar fileless, bara att köra i minnet, med avsikt att hindra analys och detektion.
Två metoder för infektion har sett i det vilda – spear-phishing e-postmeddelanden som lurar användare att aktivera skadliga makron och den kompromiss av en offentlig webbserver. Angripare använder dessa servrar utsatta för att få tillträde till nät för att sedan flytta i sidled över nätverket till relevanta system.
Hacka gruppen arbetar också med offentligt tillgängliga verktyg som Mimikatz, PsExec, WinExe, Nmap för att hjälpa till att utföra skadliga aktiviteter över målet nätverk, samtidigt som det också finns kvar under radarn. Samtidigt som forskare inte länka attackerna till en viss operatör, det har varit känt för nationen-staten i samband hackare att bedriva kampanjer med hjälp av dessa finns öppet tillgängliga kit.
“Är det säkert att hotet aktörer som ansvarar för GreyEnergy är extremt farligt i deras uthållighet och stealth”, sade uppsats om malware – och det är varnat för att den gruppen är fortfarande aktiv och att det möjligen i utarbetandet av framtida sabotage attacker eller lägga grunden för en verksamhet som drivs av några andra APT-gruppen.
Det finns dock ett antal saker som en organisation kan göra för att hjälpa till att undvika att falla offer för kampanjen.
“Använd multi-layered security solutions, inklusive Endpoint Detection och Svar, 2FA, backuper, uppdaterad och patchad programvara, och informera de anställda för att inte falla offer för spear-phishing-attacker,” sade ESET forskaren Robert Lipovský.
LÄS MER OM IT-SÄKERHET
Hackare attackerar kraftbolag, stjäla kritisk data: Här är hur de gör detKan ryska hackare stoppas? Här är varför det kan ta 20 år [TechRepublic]Gratis, lätt att använda och tillgänglig för alla: Den kraftfulla skadlig kod gömd i vanlig syn på den öppna webbenUkraina fruktar en samordnad hacka attack från Ryssland [MAG]Industroyer: En fördjupad titt på den skyldige bakom Ukrainas elnätet blackout
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0