BlackEnergy ļaunprātīgas programmatūras spraudņi darbojas nikni

BlackEnergy ļaunprātīgas programmatūras spraudņi darbojas nikni

Kaspersky Lab globālais pētījums & Analīzes grupa pagājušajā nedēļā publicēja interesantu ziņojumu, kurā sīki aprakstīts nozieguma programmatūras pārvērstais kibernoziegumu rīks BlackEnergy.

Pirmoreiz tika identificēts pirms vairākiem gadiem, BlackEnergy sākotnējais mērķis bija DDoS uzbrukumu palaišana, izmantojot pielāgotus spraudņus. Laika gaitā BlackEnergy2 un BlackEnergy3 attīstījās un galu galā tika pamanīti, lejupielādējot papildu pielāgotus spraudņus, kas tika izmantoti surogātpasta izplatīšanai un tiešsaistes bankas informācijas ieguvei, sacīja Kaspersky pētnieki Kurts Baumgartners un Marija Garnaeva. Pēdējā laikā ļaundabīgo programmatūru ir pieņēmusi Sandworm Team - grupa, kas saistīta ar kiberspiegiju, tostarp mērķauditorijas atlasi rūpnieciskajām SCADA sistēmām..

Kaspersky ziņojumā ir aprakstīti divi nenosaukti BlackEnergy upuri, kuriem uzbruka 2014. gada vasarā:

Pirmais tika izmests ar šķēpu, izmantojot e-pastu ar WinRAR utilītu. Pēc tam slēptais izpildāmais fails izdzēsa dažādus BlackEnergy spraudņus.

Otrais upuris tika uzlauzts, izmantojot iepriekšējā upura nozagtās VPN akreditācijas datus, kā rezultātā tika iznīcināti daži biznesa dati, un tas, kurš uzbruka otrajam cietušajam, Kaspersky nebija vislabāk apmierināts, jo viņi tcl skriptā atstāja šādu ziņojumu - “Fuck U, kaspeRsky !! Nekad neiegūstiet svaigu Melno En3rgy. ”

Hakeri atzinīgi novērtēja uzņēmuma Cisco maršrutētāju, kuri visi darbināja dažādas IOS versijas, atvieglojumu, lai gan scenārija autors teica: “Paldies C1sco ltd par iebūvētajiem atbalsta datortīkliem & 0 dienas. ”

Nesenā iSIGHT Partners ievietotajā emuārā ir sīki aprakstīta Windows nulles dienas ievainojamība (CVE-2014-4114), kas ietekmēja visas Microsoft Windows un Server 2008 un 2012. versijas. Šī ievainojamība, kā norāda uzņēmums, atviegloja BlackEnergy darbinātu kiberspiegijas kampaņu, kuras mērķauditorija bija NATO, Ukrainas valdības organizācijas, Rietumeiropas valdības, enerģētikas nozare Polijā, Eiropas telekomunikāciju uzņēmumi un akadēmiskās iestādes ASV. iSIGHT šo kampaņu attiecināja uz Krieviju.

Un saskaņā ar ASV Iekšzemes drošības departamenta sniegto informāciju BlackEnergy kopš 2011. gada slēpjas galvenajos ASV datoros un ir nolēmis postīt postījumus ar kritisko infrastruktūru. ABC News vēsta, ka ASV nacionālās drošības avoti ir apgalvojuši, ka viņu rīcībā ir pierādījumi, kas norāda arī uz spēcīgu vainas pirkstu Krievijas virzienā, kas liek domāt, ka Sandworm Team faktiski var būt valsts sponsorēts.

Kā krievu uzņēmumam, iespējams, nav pārsteigums uzzināt, ka Kaspersky pētnieki vairs nespēja identificēt māti Krieviju kā dažādu BlackEnergy uzbrukumu vainīgo, lai gan, godīgi sakot, viņi tomēr atklāja, ka viena no “DDoS komandām, kas paredzēta šiem maršrutētājiem”, bija 188.128.123.52, kas, pēc viņu teiktā, “pieder Krievijas Aizsardzības ministrijai”. Vēl viena Baumgartnera un Garnaeva identificēta IP adrese - 212.175.109.10 - pieder Turcijas Iekšlietu ministrijas valdības vietnei. Viņi saka, ka šie divi atklājumi padara neskaidru, kurš ir aiz uzbrukumiem.

Baumgartnera un Garnaeva pētījumi arī atklāj, kā BlackEnergy spraudņu izplatīšana rīkam ir devusi plašu iespēju klāstu. Tajos ietilpst DDoS rīks, kas īpaši izveidots ARM / MIPS sistēmām, spēja notīrīt diskus vai padarīt tos nebootavus, kā arī dažādi portu skenēšanas un sertifikātu zagšanas spraudņi, kā arī rezerves saziņas kanāls Google Plus kontu veidā, kas varētu izmantot, lai lejupielādētu noklusētās komandas un kontrolētu datus no šifrēta PNG attēla faila. Pētnieki sacīja, ka šajā gadījumā izmantotais spraudnis “grc” tika izveidots, lai saturētu jaunu komandu un vadības adresi, taču viņi neievēroja, ka viens tiek izmantots.

Vēl viens Kaspersky ziņojumā minētais kuriozs bija fakts, ka daži spraudņi tika izstrādāti, lai savāktu aparatūras informāciju par inficētām sistēmām, ieskaitot mātesplates datus, informāciju par procesoru un izmantoto BIOS versiju. Citi spraudņi vāca informāciju par pievienotajām USB ierīcēm, liekot pētniekiem secināt, ka, balstoties uz informāciju, kas atkal nosūtīta vadības un vadības centram, papildu bojājumu inficēšanai var tikt izmantoti citi, vēl neidentificēti spraudņi..

BlackEnergy ļaunprātīgas programmatūras spraudņi darbojas nikni
admin Author
Sorry! The Author has not filled his profile.