„BlackEnergy“ ilgą laiką terorizavusi Ukrainą 2015 m. gruodį surengė atakas prieš Ukrainos elektros energijos tiekimo įmones, kurių metu 230 tūkstančių žmonių liko be elektros. Tai buvo pirma tokio tipo ataka, sukėlusi elektros tiekimo trikdžius. Tuo pačiu metu ESET tyrėjai užfiksavo kitą kenksmingų programų sistemą ir ją pavadino „GreyEnergy“, rašoma pranešime žiniasklaidai.

„Matėme, kaip „GreyEnergy“ dalyvavo atakose prieš elektros tiekimo įmones ir kitus aukštos vertės objektus Ukrainoje ir Lenkijoje pastaruosius trejus metus“, – tvirtina ESET vyresnysis saugumo tyrėjas Anton Cherepanov, vadovavęs šiam tyrimui.

2015 m. ataka prieš Ukrainos energijos infrastruktūrą buvo žinomiausia operacija, kurioje buvo panaudotas „BlackEnergy“ įrankių rinkinys. Vėliau tyrėjai išanalizavo naują pažangių grėsmių platintoją „TeleBots“.

„TeleBots“ yra geriausiai žinoma dėl pasaulį sudrebinusio, diskus trinančio kenkėjo „NotPetya“, kuris 2017 m. sutrikdė daugybės verslų veiklą ir sukėlė milijardais dolerių skaičiuojamą žalą. Kaip neseniai patvirtino ESET, „TeleBots“ yra susiję su galingiausiu kenkėju „Industroyer“, atakuojančiu industrines valdymo sistemas ir sukėlusiu elektros tiekimo trikdžius Kijeve 2016 m.

„GreyEnergy“ iškilo kartu su „TeleBots“, bet kitaip nei gerai žinoma „BlackEnergy“, jos veikla neapsiriboja vien Ukraina ir kol kas rengiamos atakos nebuvo tokios žalingos. Akivaizdu, ši nusikaltėlių grupė nori išvengti dėmesio“, – teigia A. Cherepanov.

Remiantis išsamia analize, „GreyEnergy“ kenkėjas yra artimai susijęs tiek su „BlackEnergy“, tiek su „TeleBots“ kenkėju. Dėl modulinės konstrukcijos jo funkcionalumas priklauso nuo pasirenkamos modulių kombinacijos, kurią kenkėją valdantis operatorius atsiunčia į užkrėstą sistemą.

Palyginus su „BlackEnergy“, „GreyEnergy“ kenksmingų įrankių rinkinys yra labiau pritaikytas slapstytis ir turi galimybę perimti visos įmonės tinklų kontrolę. Viena iš technikų yra į užkrėstą sistemą atsiųsti tik norimus modulius. ESET išanalizavo modulius, kurie buvo naudojami šnipinėjimo ir žvalgybos tikslais, taip pat buvo aptiktos funkcijos, skirtos įsilaužti pro „galines duris“ (angl. backdoor), ištraukti failus, daryti momentines ekrano kopijas, rinkti klaviatūros paspaudimus, vogti slaptažodžius ir prisijungimo duomenis.

„Mes neaptikome jokių modulių, kurie tikslingai atakuoja industrines valdymo sistemas ar įrenginius. Tačiau mes pastebėjome, kad „GreyEnergy“ operatoriai strategiškai atakuoja ICS valdymo darbo vietas, naudojančias SCADA programinę įrangą ir serverius“, – paaiškina A. Cherepanov.

„GreyEnergy“ atskleidimas ir detali analizė padės apsisaugoti nuo tokių grėsmių platintojų, taip pat leidžia geriau suprasti, kokias taktikas, įrankius ir procedūras naudoja pažangiausios kibernetinių nusikaltėlių grupės.

Šaltinis
Temos
Griežtai draudžiama Delfi paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti Delfi kaip šaltinį.
Prisijungti prie diskusijos Rodyti diskusiją (2)