Plugin malware BlackEnergy berjalan berleluasa

Penyelidikan Global Kaspersky Lab & Pasukan Analisis minggu lalu menerbitkan satu laporan yang menarik yang memperincikan alat krimeware yang diputar oleh alat pengintip siber BlackEnergy.

Pertama kali dikenal pasti beberapa tahun yang lalu, tujuan asal BlackEnergy adalah pelancaran serangan DDoS melalui plugin khususnya. Dari masa ke masa, BlackEnergy2 dan BlackEnergy3 berkembang dan akhirnya melihat muat turun plugin tambahan tambahan yang digunakan untuk spam dan menuai maklumat perbankan dalam talian, menurut penyelidik Kaspersky Kurt Baumgartner dan Maria Garnaeva. Akhir-akhir ini, malware telah digunakan oleh Pasukan Sandworm, sebuah kumpulan yang dikaitkan dengan pengintip siber termasuk penargetan sistem SCADA industri.

Laporan Kaspersky terperinci dua mangsa BlackEnergy yang tidak dinamakan yang diserang pada musim panas 2014:

Yang pertama adalah lembing memancing dengan e-mel yang mengandungi eksploitasi WinRAR. Fail executable tersembunyi kemudian menjatuhkan pelbagai plugin BlackEnergy.

Mangsa kedua digodam menggunakan kredensial VPN yang dicuri mangsa sebelum ini, menyebabkan kemusnahan beberapa data perniagaan dan siapa yang menyerang mangsa nombor dua tidak gembira dengan Kaspersky sama ada mereka meninggalkan mesej berikut dalam skrip tcl – “Fuck U, kaspeRsky !! U tidak pernah mendapat Black En3rgy segar. “

Mudah-mudahan router Cisco syarikat, yang semuanya sedang menjalankan versi IOS yang berbeza, telah dikompromi disambut oleh penggodam walaupun dengan penulis skrip berkata “Terima kasih C1sco ltd untuk backd00rs terbina dalam & 0 hari. “

Pengumuman blog baru-baru ini dari iSIGHT Partners memperincikan kerentanan sifar hari Windows (CVE-2014-4114) yang menjejaskan semua versi Microsoft Windows dan Server 2008 dan 2012. Kerentanan itu, kata syarikat itu, memudahkan kempen pengintip Cyber-powered BlackEnergy yang disasarkan NATO, organisasi kerajaan Ukraine, kerajaan Eropah Barat, sektor tenaga di Poland, syarikat telekom Eropah dan institusi akademik di Amerika Syarikat. iSIGHT mengisytiharkan kempen itu ke Rusia.

Dan, menurut Jabatan Keselamatan Dalam Negeri Amerika Syarikat, BlackEnergy telah bersembunyi di komputer AS utama sejak 2011 dan dijangka mendatangkan malapetaka dengan infrastruktur kritis. ABC News mengatakan sumber keselamatan negara AS telah mendakwa memiliki bukti yang juga menuding jari kuat ke arah Russia, menunjukkan bahawa Pasukan Sandworm sebenarnya boleh ditaja oleh negara.

Sebagai sebuah syarikat Rusia mungkin tidak mengejutkan untuk mengetahui bahawa penyelidik Kaspersky tidak lagi mengenal pasti ibu Rusia sebagai pelaku di sebalik pelbagai serangan BlackEnergy walaupun, untuk menjadi adil, mereka mendapati bahawa salah satu daripada “arahan DDoS dimaksudkan untuk router ini” adalah 188.128.123.52 yang, kata mereka, “adalah milik Kementerian Pertahanan Russia.” Satu lagi alamat IP yang dikenal pasti oleh Baumgartner dan Garnaeva – 212.175.109.10 – dimiliki oleh tapak kerajaan Kementerian Dalam Negeri Turki. Dua penemuan ini, kata mereka, membuatnya tidak jelas tentang siapa yang berada di belakang serangan itu.

Penyelidikan Baumgartner dan Garnaeva juga mendedahkan bagaimana percambahan plug-in untuk BlackEnergy telah memberikan alat ini pelbagai keupayaan. Ini termasuk alat DDoS yang dibuat khusus untuk sistem ARM / MIPS, keupayaan untuk memadam pemacu atau menjadikannya tidak dapat dipetakan dan pelbagai pemindai pelabuhan dan pengimbasan sijil pelabuhan, serta saluran komunikasi sandaran dalam bentuk akaun Google Plus yang boleh digunakan untuk memuat turun arahan dan data kawalan yang obfuscated dari fail imej PNG yang disulitkan. Para penyelidik berkata plugin ‘grc’ yang digunakan dalam contoh ini direka untuk mengandungi arahan dan alamat kawalan baru tetapi mereka tidak melihat satu yang digunakan.

Satu lagi curio yang disebut dalam laporan Kaspersky adalah fakta bahawa beberapa pemalam direka untuk mengumpul maklumat perkakasan pada sistem yang dijangkiti termasuk data motherboard, maklumat pemproses dan versi BIOS yang digunakan. Pemalam lain sedang mengumpul maklumat tentang peranti USB yang dilampirkan, yang mengetuai penyelidik untuk menyimpulkan bahawa pemalam lain yang belum dikenal pasti boleh digunakan untuk menjangkiti kerosakan selanjutnya, berdasarkan maklumat yang dikomunikasikan kembali ke pusat arahan dan kawalan.