BlackEnergy плъгини за злонамерен софтуер работят разюздано

BlackEnergy плъгини за злонамерен софтуер работят разюздано

Глобални изследвания на лабораторията Касперски & Екипът за анализ миналата седмица публикува интересен доклад, в който подробно описва криминалния софтуер BlackEnergy.

За първи път идентифициран преди няколко години, първоначалната цел на BlackEnergy е стартирането на DDoS атаки чрез персонализираните му приставки. С течение на времето BlackEnergy2 и BlackEnergy3 се развиха и в крайна сметка бяха забелязани, изтегляйки допълнителни персонализирани приставки, които се използват за спам тиражи и събиране на информация за онлайн банкиране, според изследователите от Касперски Курт Баумгартнер и Мария Гарнаева. Напоследък зловредният софтуер беше приет от екипа на Sandworm, група, свързана с кибер шпионаж, включително насочване към индустриални SCADA системи.

Докладът на Касперски подробно описва две неназовани жертви на BlackEnergy, които бяха нападнати през лятото на 2014 г.:

Първият беше копиран с копие с имейл, съдържащ експлоатация на WinRAR. След това скритият изпълним файл пусна различни плъгини BlackEnergy.

Втората жертва бе хакнала, използвайки откраднатите идентификационни данни за VPN на предишната жертва, което доведе до унищожаването на някои бизнес данни и който нападна жертва номер две, не беше най-добре доволен от Касперски, тъй като те оставиха следното съобщение в скрипт на tcl - „Майната си U, kaspeRsky !! Никога не получавате свежа черна En3rgy. "

Лекотата, с която фирмените маршрутизатори Cisco, които работеха с различни IOS версии, бяха компрометирани, беше приветствана от хакерите, въпреки че сценаристът казва „Благодаря C1sco ltd за вградените backd00rs & 0-ден ".

Неотдавнашна публикация в блога от iSIGHT Partners описва подробно уязвимост на Windows с нулев ден (CVE-2014-4114), която засегна всички версии на Microsoft Windows и Server 2008 и 2012 г. Тази уязвимост, според компанията, улесни кампанията за кибер шпионаж, задвижвана от BlackEnergy, насочена към нея НАТО, украинските правителствени организации, западноевропейските правителства, енергийният сектор в Полша, европейските телекомуникационни компании и академичните институции в САЩ. iSIGHT приписа тази кампания на Русия.

Според Министерството на вътрешната сигурност на САЩ BlackEnergy се крие в ключови компютри в САЩ от 2011 г. и е настроен да унищожи критичната инфраструктура. ABC News твърди, че източниците за национална сигурност на САЩ твърдят, че притежават доказателства, които също сочат силен пръст на вината в посока Русия, което предполага, че екипът на Sandworm всъщност може да бъде спонсориран от държавата.

Като руска компания може би не е изненадващо да научите, че изследователите на Касперски не са успели да идентифицират майка Русия като извършител зад различните атаки на BlackEnergy, но, за да бъдем справедливи, те откриха, че една от „командите на DDoS, предназначени за тези рутери“ е 188.128.123.52, което според тях „принадлежи на Министерството на отбраната на Русия“. Друг IP адрес, идентифициран от Баумгартнер и Гарнаева - 212.175.109.10 - принадлежи на правителствения сайт на Министерството на вътрешните работи на Турция. Според тези две открития не е ясно кой стои зад атаките.

Изследванията на Баумгартнер и Гарнаева също разкриват как разпространението на приставки за BlackEnergy даде на инструмента широк спектър от възможности. Те включват инструмент DDoS, специално създаден за ARM / MIPS системи, възможност за изтриване на дискове или превръщането им в невъзможност за работа и различни приставки за сканиране на порт и сертификати, както и резервен комуникационен канал под формата на акаунти в Google Plus, може да се използва за изтегляне на замъглени командни и контролни данни от криптиран файл с изображение на PNG. Изследователите казаха, че използваният в този случай плъгин „grc“ е проектиран да съдържа нов команден и контролен адрес, но те не забелязват как се използва такъв.

Друго любопитство, споменато в доклада на Kaspersky, е фактът, че някои приставки са проектирани да събират хардуерна информация за заразени системи, включително данни за дънната платка, информация за процесора и използваната версия на BIOS. Други приставки събираха информация за свързани USB устройства, което накара изследователите да заключат, че други засега неидентифицирани приставки могат да бъдат използвани за заразяване на по-нататъшни щети въз основа на информацията, предадена обратно в командно-контролния център.

BlackEnergy плъгини за злонамерен софтуер работят разюздано
admin Author
Sorry! The Author has not filled his profile.