תוספות זדוניות של BlackEnergy פועלות משתוללות

המחקר העולמי של מעבדת קספרסקי & צוות הניתוחים פרסם בשבוע שעבר דוח מעניין ובו התייחסו לכלי הריגול ברשת Cyber ​​BlackEnergy.

המטרה המקורית של BlackEnergy, אשר זוהתה לראשונה לפני מספר שנים, הייתה השקת מתקפות DDoS באמצעות תוספים מותאמים אישית שלה. עם הזמן התפתחו BlackEnergy2 ו- BlackEnergy3 ובסופו של דבר הבחינו בהורדת תוספים מותאמים אישית נוספים ששימשו להפעלת ספאם וקצירת מידע בנקאות מקוונת, על פי חוקרי קספרסקי קורט באומגרטנר ומריה גרנבה. לאחרונה, התוכנה הזדונית אומצה על ידי צוות Sandworm, קבוצה הקשורה לריגול סייבר כולל מיקוד של מערכות SCADA תעשייתיות..

דוח קספרסקי פירט שני קורבנות BlackEnergy שלא הוזכרו שם שהותקפו במהלך קיץ 2014:

הראשון חודש עם הודעת דוא”ל המכילה ניצול WinRAR. קובץ ההפעלה הנסתר הפיל אז תוספים שונים של BlackEnergy.

הקורבן השני נפרץ תוך שימוש בתעודות ה- VPN הגנובות של הקורבן הקודם, מה שהוביל להרס של כמה נתונים עסקיים ומי שתקף את הקורבן מספר שתיים לא היה מרוצה מהקאספרסקי גם כשהוא השאיר את ההודעה הבאה בתסריט tcl – “Fuck U, kaspeRsky !! אתה אף פעם לא תקבל שחור En3rgy שחור. “

ההאקרים התקבלו בברכה על ידי ההאקרים, למרות שכותב הסיסקו אמר “תודה C1sco ltd על backd00rs מובנים & 0 ימים. “

פרסום שפורסם לאחרונה בבלוג של iSIGHT Partners מפרט פגיעות של חלונות של יום אפס של חלונות (CVE-2014-4114) שהשפיעו על כל הגרסאות של Microsoft Windows ו- Server 2008 ו- 2012. פגיעות זו, אמרה החברה, הקלה את קמפיין הריגול ברשת סייבר עם סייבר BlackEnergy שמכוון. נאט”ו, ארגוני ממשל אוקראינים, ממשלות מערב אירופה, מגזר האנרגיה בפולין, חברות טלקום אירופיות ומוסדות אקדמיים בארה”ב. iSIGHT ייחס את הקמפיין הזה לרוסיה.

ולדברי המשרד האמריקני לביטחון פנים, BlackEnergy מסתתרת במחשבים מרכזיים בארה”ב מאז 2011 והיא אמורה לעורר הרס בתשתיות קריטיות. בחדשות ABC נמסר כי גורמים בביטחון לאומי של ארה”ב טענו כי הם מחזיקים בראיות שמצביעות גם על אצבע חסונה של האשמה לכיוון רוסיה, ומציעים כי צוות תולעת החול עשוי להיות בפועל בחסות המדינה..

כחברה רוסית, אולי אין זה מפתיע ללמוד כי החוקרים של קספרסקי הפסיקו לזהות את רוסיה האם כמבצע הפיגועים מאחורי התקפות BlackEnergy השונות, אולם למען ההגינות הם גילו שאחת מ”פקודות ה- DDoS שנועדו לנתבים אלה “הייתה 188.128.123.52, שלדבריהם “שייך למשרד ההגנה הרוסי.” כתובת IP נוספת שזוהתה על ידי באומגרטנר וגרנבה – 212.175.109.10 – שייכת לאתר הממשלתי של משרד הפנים הטורקי. שתי הגילויים הללו, לדבריהם, לא מבהירים מי עומד מאחורי הפיגועים.

המחקר של באומגרטנר וגרנבה מגלה גם כיצד ריבוי התוספים עבור BlackEnergy העניק לכלי מגוון רחב של יכולות. אלה כוללים כלי DDoS המיועד במיוחד למערכות ARM / MIPS, היכולת למחוק כוננים או להפוך אותם בלתי ניתנים לניתוח ועם מגוון תוספים לסריקת נמל וגניבת תעודות, כמו גם ערוץ תקשורת גיבוי בצורה של חשבונות גוגל פלוס אשר ניתן להשתמש בהורדת נתוני פקודה ובקרה מוסתרים מקובץ תמונה מוצפן של PNG. החוקרים אמרו כי התוסף ‘grc’ המשמש במקרה זה נועד להכיל כתובת פקודה ושליטה חדשה, אך הם לא צפו באחד המשמש את השימוש בהם..

קוריוז נוסף שהוזכר בדוח קספרסקי היה העובדה שחלק מהתוספים נועדו לאסוף מידע על חומרה במערכות נגועות כולל נתוני לוח האם, מידע על מעבד וגרסת ה- BIOS שהופעלה. תוספים אחרים אוספים מידע על התקני USB מחוברים, מה שהוביל את החוקרים למסקנה כי ניתן להשתמש בתוספות אחרות שעדיין לא היו מזוהות כדי להדביק נזק נוסף, על סמך המידע שהועבר בחזרה למרכז הפיקוד והבקרה.