ปลั๊กอินมัลแวร์ของ BlackEnergy วิ่งออกอาละวาด

ปลั๊กอินมัลแวร์ของ BlackEnergy วิ่งออกอาละวาด

การวิจัยระดับโลกของ Kaspersky Lab & ทีมวิเคราะห์เมื่อสัปดาห์ที่แล้วตีพิมพ์รายงานที่น่าสนใจโดยมีรายละเอียดว่า crimeware หันเครื่องมือจารกรรมไซเบอร์ BlackEnergy.

ระบุเป็นครั้งแรกเมื่อหลายปีก่อนวัตถุประสงค์ดั้งเดิมของ BlackEnergy คือการเปิดตัวการโจมตี DDoS ผ่านทางปลั๊กอินที่กำหนดเอง เมื่อเวลาผ่านไป BlackEnergy2 และ BlackEnergy3 ได้รับการพัฒนาและในที่สุดก็มีการดาวน์โหลดปลั๊กอินที่กำหนดเองเพิ่มเติมซึ่งใช้สำหรับการเรียกใช้สแปมและการเก็บข้อมูลธนาคารออนไลน์ตามรายงานของ Kaspersky Kurt Baumgartner และ Maria Garnaeva เมื่อเร็ว ๆ นี้มัลแวร์ได้ถูกนำมาใช้โดยทีม Sandworm ซึ่งเป็นกลุ่มที่เชื่อมโยงกับหน่วยสืบราชการลับทางไซเบอร์รวมถึงการกำหนดเป้าหมายของระบบ SCADA อุตสาหกรรม.

รายงานของ Kaspersky ระบุรายละเอียดผู้ที่ตกเป็นเหยื่อของ BlackEnergy สองคนที่ถูกโจมตีในช่วงฤดูร้อนปี 2557:

สิ่งแรกคือหอกฟิชชิ่งด้วยอีเมลที่มีช่องโหว่ของ WinRAR ไฟล์ปฏิบัติการที่ซ่อนอยู่จากนั้นปล่อยปลั๊กอิน BlackEnergy ต่างๆ.

เหยื่อรายที่สองถูกแฮ็กโดยใช้ข้อมูลรับรอง VPN ที่ถูกขโมยไปของเหยื่อรายก่อนหน้านี้ซึ่งนำไปสู่การทำลายข้อมูลทางธุรกิจบางส่วนและผู้ที่โจมตีเหยื่อหมายเลขสองไม่พอใจ Kaspersky อย่างดีที่สุดเมื่อพวกเขาทิ้งข้อความต่อไปนี้ในสคริปต์ tcl -“ Fuck U, kaspeRsky !! คุณไม่เคยได้รับ En3rgy สีดำสด ๆ ”

ความสะดวกในการที่เราเตอร์ Cisco ของ บริษัท ซึ่งใช้ IOS รุ่นต่าง ๆ ได้รับการต้อนรับโดยแฮกเกอร์แม้ว่าผู้เขียนบทจะกล่าวว่า "ขอบคุณ C1sco ltd สำหรับ backd00rs ในตัว & 0 วัน.”

บล็อกล่าสุดที่โพสต์จาก iSIGHT Partners ระบุรายละเอียดเกี่ยวกับช่องโหว่ Windows zero-day (CVE-2014-4114) ซึ่งส่งผลกระทบต่อ Microsoft Windows และ Server 2008 และ 2012 ทุกรุ่นที่เปิดช่องโหว่ดังกล่าว นาโตองค์กรรัฐบาลยูเครนรัฐบาลยุโรปตะวันตกภาคพลังงานในโปแลนด์ บริษัท โทรคมนาคมในยุโรปและสถาบันการศึกษาในสหรัฐอเมริกา iSIGHT ระบุว่าแคมเปญดังกล่าวไปรัสเซีย.

และตามที่กระทรวงความมั่นคงแห่งสหรัฐอเมริการะบุว่าแบล็กอีนเนอร์ได้ซ่อนตัวอยู่ในคอมพิวเตอร์ที่สำคัญของสหรัฐตั้งแต่ปี 2554 และมีการตั้งค่าเพื่อทำลายความเสียหายด้วยโครงสร้างพื้นฐานที่สำคัญ ABC News กล่าวว่าแหล่งข่าวความมั่นคงแห่งชาติของสหรัฐอเมริกาอ้างว่ามีหลักฐานซึ่งชี้ว่ามีความผิดในทิศทางของรัสเซียซึ่งชี้ให้เห็นว่าทีม Sandworm อาจได้รับการสนับสนุนจากรัฐ.

ในฐานะ บริษัท รัสเซียอาจไม่น่าแปลกใจที่รู้ว่านักวิจัยของ Kaspersky หยุดไม่ให้ระบุแม่รัสเซียในฐานะผู้กระทำความผิดที่อยู่เบื้องหลังการโจมตีของ BlackEnergy แม้ว่าจะยุติธรรมพวกเขาค้นพบว่าหนึ่งใน“ คำสั่ง DDoS ที่มีความหมายสำหรับเราเตอร์เหล่านี้” 188.128.123.52 ซึ่งพวกเขากล่าวว่า” เป็นของกระทรวงกลาโหมรัสเซีย” ที่อยู่ IP อื่นที่ระบุโดย Baumgartner และ Garnaeva - 212.175.109.10 - เป็นของเว็บไซต์รัฐบาลตุรกีกระทรวงมหาดไทย พวกเขากล่าวว่าการค้นพบทั้งสองนี้ทำให้ไม่ชัดเจนว่าใครอยู่เบื้องหลังการโจมตี.

การวิจัยของ Baumgartner และ Garnaeva ยังเผยให้เห็นว่าการเพิ่มจำนวนของปลั๊กอินสำหรับ BlackEnergy ทำให้เครื่องมือมีความสามารถที่หลากหลาย สิ่งเหล่านี้รวมถึงเครื่องมือ DDoS ที่สร้างขึ้นเป็นพิเศษสำหรับระบบ ARM / MIPS ความสามารถในการล้างไดรฟ์หรือทำให้ไม่สามารถบูตได้และปลั๊กอินการสแกนพอร์ตและปลั๊กอินการขโมยใบรับรองที่หลากหลายรวมถึงช่องทางการสื่อสารสำรองในรูปแบบของบัญชี Google Plus สามารถใช้เพื่อดาวน์โหลดคำสั่ง obfuscated และควบคุมข้อมูลจากไฟล์ภาพ PNG ที่เข้ารหัส นักวิจัยกล่าวว่าปลั๊กอิน 'grc' ที่ใช้ในตัวอย่างนี้ถูกออกแบบมาเพื่อให้มีคำสั่งและที่อยู่ควบคุมใหม่ แต่พวกเขาไม่ได้สังเกตว่ามีการใช้งาน.

อีก curio ที่กล่าวถึงในรายงาน Kaspersky คือความจริงที่ว่าปลั๊กอินบางตัวได้รับการออกแบบมาเพื่อรวบรวมข้อมูลฮาร์ดแวร์ในระบบที่ติดเชื้อรวมถึงข้อมูลเมนบอร์ดข้อมูลโปรเซสเซอร์และรุ่น BIOS ที่ใช้ ปลั๊กอินอื่นกำลังรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ USB ที่เชื่อมต่อทำให้ผู้วิจัยสรุปได้ว่าอาจมีการใช้ปลั๊กอินอื่นที่ยังไม่ได้ระบุเพื่อติดความเสียหายเพิ่มเติมโดยอ้างอิงจากข้อมูลที่สื่อสารกลับไปยังศูนย์บัญชาการและศูนย์ควบคุม.

ปลั๊กอินมัลแวร์ของ BlackEnergy วิ่งออกอาละวาด
admin Author
Sorry! The Author has not filled his profile.