Истина где-то ниже
Октябрь 22, 2018

Модульный троян GreyEnergy атакует промышленные предприятия

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Критическим элементам производственных систем и сетевой инфраструктуре энергетического сектора угрожает модульный зловред GreyEnergy. Киберпреступники, стоящие за кампанией, могут каждый раз выбирать оптимальные способы заражения целевых компьютеров. Пока троян лишь передает на командный сервер сведения об инфицированных устройствах, однако специалисты ESET указывают на схожесть его методов с нападениями группировок BlackEnergy и Telebots.

По словам экспертов, атака нацелена на промышленные предприятия Украины и Польши. Заражение начинается с установки программы-разведчика, в которой эксперты узнали бэкдор FELIXROOT, ранее замеченный в кампаниях на постсоветском пространстве. Этот скрипт сканирует сеть жертвы и крадет учетные данные, необходимые для развертывания основных модулей. Он применяет легитимные инструменты, такие как Nmap или Mimikats, поэтому не привлекает внимание антивирусных систем и обходится без root-привилегий.

Состав модулей, включенных в основную полезную нагрузку, зависит от сведений, собранных на первом этапе. Так, на критически важные серверы, которые перезагружаются крайне редко, зловред устанавливает бесфайловый модуль, в то время как для заражения рабочих станций используется библиотека ServiceDLL, внедряемая в легитимный системный процесс.

Управление атакой осуществляется командным сервером через сеть публичных ретрансляторов сети Tor. Кроме того, злоумышленники используют компьютеры жертвы в качестве прокси-серверов для передачи инструкций C&C. Это позволяет вредоносной программе оставаться незаметной для систем безопасности, так как внутренний трафик не считается источником угрозы и реже сканируется антивирусными приложениями.

Пока GreyEnergy ограничивается перехватом ввода с клавиатуры, отправкой на сервер скриншотов рабочего стола и кражей учетных данных, однако модульная структура зловреда позволяет расширять возможности для атаки. Особое беспокойство вызывает вектор заражения — злоумышленники нацелены на промышленные предприятия, поддерживающие критическую инфраструктуру в области энергетики и транспорта.

Список целей, методы распространения и состав компонентов новой кампании имеют много общего с вредоносом BlackEnergy, который несколько лет назад атаковал украинские энергетические предприятия. Эксперты также обнаружили совпадение части кода GreyEnergy с ранними вариантами скриптов группировки Telebots, стоящей за нападениями вымогателей KillDisk и NotPetya.

В прошлом году специалисты «Лаборатории Касперского» нашли немало общего в исходниках BlackEnergy, KillDisk и NotPetya, что может свидетельствовать об их связи с киберпреступниками, распространяющими GreyEnergy.

Источник: https://threatpost.ru/greyenergy-spy-trojan-targets-scada-systems-in-ukraine-and-poland/28810/