Вредоносное ПО GreyEnergy содержит огромное количество «мусорного» кода

image

Теги: GreyEnergy, фишинг, АСУ ТП

«Мусорный» код призван запутать аналитиков и сбить их со следа.

Исследователи в области кибербезопасности продолжают изучать инфраструктуру группировки GreyEnergy, предположительно имеющей отношение к кибератакам на энергосистему Украины в 2015 году. В ходе реверс-инжиниринга вредоносного ПО GreyEnergy эксперт компании Nozomi Networks Алессандро Ди Пинто (Alessandro Di Pinto) обнаружил огромное количество «мусорного» кода, призванного запутать аналитиков и сбить их со следа.

«Широкое использование атакующими методов, затрудняющих проведение экспертизы, подчеркивает их стремление сохранять скрытность и обеспечить незаметное заражение вредоносным ПО», - заметил исследователь.

Русскоязычная группировка GreyEnergy считается преемником группировки BlackEnergy, которая, предположительно, атаковала энергосистему Украины в 2015 году, что стало причиной отключения электроэнергии для 225 тыс. человек.

Ди Пинто проанализировал вредоносный документ Microsoft Word, использовавшийся в одной из фишинговых атак GreyEnergy. При открытие документа на систему загружался бэкдор, представляющий собой исполняемый файл-«упаковщик» (исполняемый файл, содержащий один или несколько сжатых или зашифрованных файлов). Подобные «упаковщики» легально могут использоваться для защиты интеллектуальной собственности, однако нередко к ним прибегают злоумышленники для сокрытия вредоносного кода.

Ди Пинто отметил умелость GreyEnergy в выборе тактики и инструментов для атак с использованием фишинговой рассылки.

«Исходя из того, насколько хорошо вредоносная программа маскирует себя после заражения системы, лучшим способом защиты от APT-группировки GreyEnergy для промышленных организаций будет обучение сотрудников опасностям фишинговых кампаний, в том числе способам распознавания вредоносных писем и вложений», - подчеркнул Ди Пинто.

Аналитикам пока не удалось выявить повторные атаки GreyEnergy на промышленные системы автоматизации. По словам Ди Пинто, киберпреступники часто взламывают IT-системы промышленных организаций для изучения работы АСУ ТП.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.