Наследник BlackEnergy атакует энергетические предприятия Украины и Польши
18.10.2018
Киберпреступная группировка инфицировала новейшей вредоносной программой GreyEnergy системы трех энергетических компаний Украины и Польши в рамках подготовки к будущим разрушительным атакам.
Специалисты ESET, обнаружившие новую кампанию, характеризуют группировку GreyEnergy как "одну из наиболее опасных APT-групп, терроризирующих Украину последние несколько лет". Хотя исследователи не связывают GreyEnergy с каким-либо государством, отмечается, что функционал вредоносной программы схож с ПО BlackEnergy, ранее использовавшимся в атаках на украинский энергетический сектор.
По их мнению, GreyEnergy может считаться наследницей BlackEnergy по ряду причин: оба семейства обладают сходной модульной структурой, используют похожий метод связи с управляющими серверами через узлы Tor и атакуют компании, имеющие отношение к энергетической сфере и критической инфраструктуре (оба семейства были замечены на системах украинских энергетических предприятий, и по крайней мере одна из жертв GreyEnergy была заражена BlackEnergy). Как отмечается, появление GreyEnergy совпадает с периодом исчезновения BlackEnergy, это может говорить о том, что организатором обеих кампаний является одна и та же группировка.
Вредоносное ПО GreyEnergy распространяется двумя методами: посредством фишинговых писем и через скомпрометированные публично доступные web-серверы, используемые злоумышленниками для проникновения в сети и получения доступа к системам. С помощью GreyEnergy киберпреступники собирают конфиденциальную информацию, такую как учетные данные. Кроме прочего, группировка применяет общедоступные инструменты, например, Mimikatz, PsExec, WinExe, Nmap и пр. для осуществления вредоносной деятельности в сетях. В основном участников группы интересуют ключевые системы компаний, в частности, компьютеры, используемые для управления промышленными процессами.
Эксперты не раскрыли названия пострадавших фирм. Представители Киберполиции Украины подтвердили факт осуществления атак. Польские власти никак не прокомментировали ситуацию.
