Hackerská skupina GreyEnergy míří na kritickou infrastrukturu, patrně chystá zákeřné kyberútoky

17:25 | Redakce W4T | Diskuze

Bezpečnostní společnosti ESET se podařilo odhalit dalšího nástupce hackerské skupiny BlackEnergy, která je zodpovědná za masivní výpadky elektrické energie na Ukrajině. Novou skupinu ESET pojmenoval GreyEnergy a na základě dosavadní analýzy dospěl k názoru, že se soustřeďuje na monitoring a špionáž kritických infrastruktur vybraných států, a připravuje se tak na nadcházející kybernetické útoky a sabotáže.

Ilustrativní obrázek
Foto: C_ossett

Skupina BlackEnergy mnoho let terorizovala Ukrajinu a významně se podílela na masivním výpadku elektrické energie, k němuž došlo v prosinci 2015 a postihl na 230 tisíc lidí. Skupina se tehdy nechvalně zapsala do historie jako první, komu se podařilo způsobit takový masivní energetický výpadek kybernetickým útokem. V době, kdy došlo k tomuto bezpečnostnímu incidentu, začali analytici společnosti ESET detekovat a zkoumat ještě další malware framework, který nazvali GreyEnergy.

„Během posledních tří let jsme zaznamenali přítomnost GreyEnergy u několika energetických společností a i dalších významných cílů na Ukrajině a v Polsku,“ říká Anton Cherepanov, vedoucí týmu zaměřeného na analýzu tohoto malwaru a senior specialista na bezpečnost ve společnosti ESET.

Útok na ukrajinskou energetickou infrastrukturu v roce 2015 byl poslední známou operací, při které byla použita sada nástrojů BlackEnergy. Následně odborníci ze společnosti ESET zdokumentovali činnost nové APT skupiny nazvané TeleBots.

Skupina TeleBots je známa díky globálnímu kybernetickému útoku způsobeném škodlivým kódem NotPetya. Ten v roce 2017 způsobil výmazem pevných disků v mnoha společnostech obrovské ekonomické škody. Celkově mělo jít o několik miliard dolarů. Jak se nedávno podařilo zjistit expertům ze společnosti ESET, skupina TeleBot byla rovněž spojena se škodlivou kampaní „malware Industroyer“, doposud nejvážnější hrozby pro průmyslové řídící systémy. Industroyer udeřil v roce 2016 v ukrajinské metropoli Kyjevě, kde způsobil výpadky dodávek elektrické energie.

„Skupina GreyEnergy se objevila ve stejné době jako TeleBots, ale na rozdíl od těchto známějších útočníků se aktivity GreyEnergy neomezují pouze na Ukrajinu a jejich aktivity nezpůsobily zatím hmatatelné škody. Zjevně se ale pokouší najít způsob, jak by mohli skrytě provádět špionáž, aniž bychom je zachytili,“ popisuje Anton Cherepanov.

Podle podrobné analýzy společnosti ESET vykazuje malware framework GreyEnergy podobnosti jak s BlackEnergy, tak s TeleBots frameworkem. Má modulární architekturu a jeho funkčnost je tak závislá na kombinaci modulů, které útočník nahraje do systému oběti.

Moduly popsané v analýze společnosti ESET byly použity ke špionážním a výzkumným účelům. Zahrnují použití zadních vrátek (tzv., backdoor, který je primárně určen pro vzdálený přístup administrátorů do systému), extrakce souborů, pořizování screenshotů, zaznamenávání zmáčknutých písmen na klávesnici (tzv. keylogging), krádeže hesel a přístupových údajů, atd. 

„Nenarazili jsme na žádné moduly, které by konkrétně mířily na průmyslové kontrolní systémy nebo zařízení. Ale zaznamenali jsme, že operátoři GreyEnergy strategicky cílili na stanice a servery průmyslových kontrolních systémů, které využívají SCADA software pro vzdálenou kontrolu a správu průmyslových procesů,“ přiblížil Anton Cherepanov.

Tento objev a následná analýza malware frameworku GreyEnergy jsou velmi důležité nejen kvůli úspěšné obraně, ale zároveň jako jeden ze základních prvků pro pochopení taktiky, procedur a využívaných nástrojů v arzenálu nejpokročilejších APT skupin.

Podrobnější informace o nejnovějším objevu společnosti ESET si můžete přečíst v článku na webu WeLiveSecurity.com a v oficiální zprávě.

 

Líbil se vám článek?
+0 / -0
Odeslat článek e-mailem
Diskuze
Vstoupit do diskuze
V diskuzi zatím není žádný komentář. Buďte první, kdo bude komentovat.


Související články
Ilustrativní obrázek

ESET posiluje boj proti ransomwaru, stal se partnerem globální iniciativy No More Ransom

Ilustrativní obrázek

Na závěr roku 2018 Čechy na internetu nejvíce potrápil škodlivý doplněk prohlížeče JS/Adware.Agent.AA

Ilustrativní obrázek

Falešné bankovní aplikace opět pronikly do Google Play, cílí na uživatele po celém světě

Ilustrativní obrázek

Antivir v mobilu používá méně než polovina studentů v Česku, smartphone přitom má 96 % z nich

Ilustrativní obrázek

Nevyžádané reklamy a aktualizace softwaru vládly internetovým hrozbám v Česku i v září

Ilustrativní obrázek

ESET varuje před nebezpečnou aplikací QRecorder, cílí na české uživatele a jejich internetové bankovnictví



Čti více
Ilustrativní obrázek

V roce 2019 posílí česká koruna, zdraží komodity a uspějí nové startupy

Ilustrativní obrázek

USA: Změna zásob surové ropy podle EIA je k 11. lednu pod očekáváním trhu

Ilustrativní obrázek

Vývoj cen komodit: Ropa (-1,36 %), Zemní plyn (+7,23 %), Zlato (+0,33 %), Měď (-1,65 %)

Ilustrativní obrázek

Vývoj měnových párů: Eurodolar více méně stabilní, oslabuje o 0,03 % na 1,1464 EUR/USD 1,1464

Ilustrativní obrázek

Prudké snižování cen benzínu a nafty pokračuje. Cena ropy však začala růst

Ilustrativní obrázek

Vývoj cen komodit: Ropa (-1,39 %), zemní plyn (+0,97 %), pšenice (-0,58 %)

Portál W4T.CZ používá cookies s cílem zajistit co možná nejlepší zážitek při návštěvě těchto webových stránek. Dalším užíváním těchto webových stránek vyjadřujete souhlas s umístěním souborů cookies na vašem počítači / zařízení. Více informací naleznete zde.