Меню
Поиск

Группа GreyEnergy, возможно, готовится к разрушительным атакам на критическую инфраструктуру

18 октябрь, 2018 - 13:27

Группа GreyEnergy, возможно, готовится к разрушительным атакам на критическую инфраструктуру

Компания ESET сообщает об обнаружении подробностей о преемнике APT-группы BlackEnergy. Группа злоумышленников, которая получила название GreyEnergy, нацелена на шпионаж и разведку и, вполне возможно, готовится к будущим атакам с целью киберсаботажа.

BlackEnergy атакует Украину в течение многих лет. В частности, в декабре 2015 г. она вызвала прекращение электроснабжения, оставив без электричества 230 тыс. человек во время первого в мире отключения электроэнергии в результате кибератаки. Примерно во время этого масштабного инцидента исследователи ESET начали выявлять еще одно семейство вредоносных программ, которое получило название GreyEnergy.

«Мы зафиксировали, что GreyEnergy в течение последних трех лет участвует в атаках на энергетические компании и другие цели особой важности в Украине и Польше», — рассказывают специалисты ESET.

Атака на энергетическую инфраструктуру Украины в 2015 г. была последней известной операцией с использованием набора инструментов BlackEnergy. Через некоторое время исследователи ESET зафиксировали новую APT-подгруппу — TeleBots.

TeleBots стала известной благодаря глобальному распространению NotPetya — вредоносного программного обеспечения, которое нарушило глобальные бизнес-операции в 2017 г. и привело к убыткам в размере миллиардов долларов. Как недавно подтвердили исследователи ESET, TeleBots также связана с Industroyer, мощной современной вредоносной программой, нацеленной на промышленные системы управления, которая вызвала второе прекращение электроснабжения в Украине в 2016 г.

«GreyEnergy возникла вместе с TeleBots, но в отличие от последней, деятельность GreyEnergy не ограничивается Украиной и пока не приводила к разрушительным последствиям. Понятно, что группа хочет оставаться незамеченной», — комментируют специалисты ESET.

В соответствии с подробным анализом ESET, вредоносное программное обеспечение GreyEnergy тесно связано с вредоносными программами BlackEnergy и TeleBots. Оно имеет модульную структуру, поэтому его функционал зависит от конкретной комбинации модулей, которые оператор загружает в системы жертв.

Модули этого вредоносного программного обеспечения использовались для шпионажа и разведки. К функциональности модулей входят бэкдор, сбор файлов, осуществление снимков экрана, чтения нажатий клавиатуры, похищение паролей и учетных данных и другое.

«Мы не обнаружили никаких модулей, специально направленных на программное обеспечение промышленных систем управления или устройства ICS. Однако мы зафиксировали, что злоумышленники GreyEnergy стратегически нацеливались на рабочие станции операторов ICS, которые управляют программным обеспечением и серверами SCADA», — объясняют специалисты ESET.