Vtičniki zlonamerne programske opreme BlackEnergy se razburijo

[ware_item id=33][/ware_item]

Vtičniki zlonamerne programske opreme BlackEnergy se razburijo


Globalna raziskava laboratorija Kaspersky Lab & Ekipa za analizo je prejšnji teden objavila zanimivo poročilo, v katerem je podrobno predstavila orodje za spletno vohunjenje BlackEnergy.

Prvič, ko je bil BlackEnergy ugotovljen pred nekaj leti, je bil prvotni namen izvajanja napadov DDoS prek vtičnikov po meri. Sčasoma sta se BlackEnergy2 in BlackEnergy3 razvila in na koncu opazila nalaganje dodatnih prilagojenih vtičnikov, ki so bili uporabljeni za zagon neželene pošte in pridobivanje podatkov o spletnem bančništvu, trdijo raziskovalci Kaspersky Kurt Baumgartner in Maria Garnaeva. Pred kratkim je zlonamerno programsko opremo sprejela ekipa Sandworm, skupina, povezana s kibernetskim vohunjenjem, vključno s ciljno usmerjenostjo na industrijske sisteme SCADA.

Kaspersky poročilo podrobno opisuje dve neimenovani žrtvi BlackEnergyja, ki sta bili napadli poleti 2014:

Prvi je bil podrejen z metom z e-poštnim sporočilom, ki vsebuje WinRAR. Skrita izvedljiva datoteka je nato spustila različne vtičnike BlackEnergy.

Druga žrtev je bila prekinjena z uporabo ukradenih poverilnic VPN prejšnje žrtve, kar je povzročilo uničenje nekaterih poslovnih podatkov, in kdo je napadel žrtev številka dve, Kaspersky ni bil najbolj zadovoljen, saj je v skriptu tcl pustil naslednje sporočilo - "Jebi U, kaspeRsky !! Nikoli ne dobite sveže črne en3rgy. "

Hakerji so pozdravili enostavnost, s katero so bili ogroženi Ciscovi usmerjevalniki podjetja, ki so uporabljali različne verzije IOS, čeprav je pisatelj scenarijev rekel: "Hvala C1sco ltd za vgrajene backd00rs & 0 dni. "

Nedavna objava na spletnem mestu iSIGHT Partners podrobno opisuje ranljivost sistema Windows za nič (CVE-2014-4114), ki je vplivala na vse različice operacijskega sistema Microsoft Windows in Server 2008 in 2012. Ta ranljivost je po navedbah podjetja olajšala kampanjo kibernetskega vohunjenja, ki jo poganja BlackEnergy. Nato, ukrajinske vladne organizacije, vlade zahodne Evrope, energetski sektor na Poljskem, evropska telekomunikacijska podjetja in akademske ustanove v ZDA. iSIGHT je to kampanjo pripisal Rusiji.

In po podatkih ameriškega ministrstva za domovinsko varnost se BlackEnergy od leta 2011 skriva v ključnih ameriških računalnikih in naj bi s svojo infrastrukturo opustošil. ABC News pravi, da ameriški viri nacionalne varnosti trdijo, da razpolagajo z dokazi, ki kažejo tudi trdno krivico v smeri Rusije, kar kaže na to, da je ekipa Sandworm v resnici lahko državno sponzorirana.

Kot rusko podjetje morda ne preseneča spoznanje, da raziskovalci Kasperskega niso mogli identificirati mati Rusijo kot storilca različnih napadov BlackEnergyja, čeprav so, če smo pošteni, odkrili, da je bila ena od "ukazov DDoS, namenjenih tem usmerjevalnikom" 188.128.123.52, ki, pravijo, "pripada ruskemu ministrstvu za obrambo." Še en naslov IP, ki sta ga identificirala Baumgartner in Garnaeva - 212.175.109.10 - pripada vladnemu mestu turškega ministrstva za notranje zadeve. Zaradi teh dveh odkritij ni jasno, kdo stoji za napadi.

Raziskave Baumgartnerja in Garnaeve razkrivajo tudi, kako je širjenje vtičnikov za BlackEnergy orodju dalo široko paleto zmogljivosti. Mednje spadajo orodje DDoS, ki je posebej narejeno za sisteme ARM / MIPS, možnost brisanja pogonov ali onemogočanje njihovega delovanja in različne vtičnike za skeniranje vrat in krajo potrdil ter rezervni komunikacijski kanal v obliki računov Google Plus, lahko uporabite za nalaganje zasedenih ukaznih in nadzornih podatkov iz šifrirane slikovne datoteke PNG. Raziskovalci so povedali, da je vtičnik grc, uporabljen v tem primeru, zasnovan tako, da vsebuje nov ukazni in kontrolni naslov, vendar niso opazili, da bi ga uporabljali.

V poročilu Kasperskyja je bilo omenjeno tudi dejstvo, da so bili nekateri vtičniki zasnovani za zbiranje informacij o strojni opremi o okuženih sistemih, vključno s podatki o matični plošči, podatki o procesorju in uporabljeni različici BIOS. Drugi vtičniki so zbirali informacije o priključenih napravah USB, zaradi česar so raziskovalci ugotovili, da se lahko za okužbo nadaljnje škode uporabijo še neidentificirani vtičniki na podlagi informacij, poslanih nazaj v ukazno-kontrolni center.

Vtičniki zlonamerne programske opreme BlackEnergy se razburijo
admin Author
Sorry! The Author has not filled his profile.