Наследник BlackEnergy атакует энергетические предприятия Украины и Польши
Эксперты характеризуют группировку GreyEnergy как «одну из наиболее опасных APT-групп, терроризирующих Украину последние несколько лет».
Киберпреступная группировка инфицировала новейшей вредоносной программой GreyEnergy системы трех энергетических компаний Украины и Польши в рамках подготовки к будущим разрушительным атакам. Специалисты ESET, обнаружившие новую кампанию, характеризуют группировку GreyEnergy как «одну из наиболее опасных APT-групп, терроризирующих Украину последние несколько лет». Хотя исследователи не связывают GreyEnergy с каким-либо государством, отмечается, что функционал вредоносной программы схож с ПО BlackEnergy, ранее использовавшимся в атаках на украинский энергетический сектор.
По их мнению, GreyEnergy может считаться наследницей BlackEnergy по ряду причин: оба семейства обладают сходной модульной структурой, используют похожий метод связи с управляющими серверами через узлы Tor и атакуют компании, имеющие отношение к энергетической сфере и критической инфраструктуре (оба семейства были замечены на системах украинских энергетических предприятий, и по крайней мере одна из жертв GreyEnergy была заражена BlackEnergy). Как отмечается, появление GreyEnergy совпадает с периодом исчезновения BlackEnergy, это может говорить о том, что организатором обеих кампаний является одна и та же группировка.
Вредоносное ПО GreyEnergy распространяется двумя методами: посредством фишинговых писем и через скомпрометированные публично доступные web-серверы, используемые злоумышленниками для проникновения в сети и получения доступа к системам. С помощью GreyEnergy киберпреступники собирают конфиденциальную информацию, такую как учетные данные. Кроме прочего, группировка применяет общедоступные инструменты, например, Mimikatz, PsExec, WinExe, Nmap и пр. для осуществления вредоносной деятельности в сетях. В основном участников группы интересуют ключевые системы компаний, в частности, компьютеры, используемые для управления промышленными процессами.
Эксперты не раскрыли названия пострадавших фирм. Представители Киберполиции Украины подтвердили факт осуществления атак. Польские власти никак не прокомментировали ситуацию.
Ваша приватность умирает красиво, но мы можем спасти её.