Industroyer

Хакерите, които през 2015 г. оставиха стотици хиляди в Украйна без електричество, си имат наследник. Новооткритият зловреден код и групировката зад него носят името GreyEnergy. Според продължило три години проучване на компанията за киберсигурност ESET, организацията вероятно се занимава с шпионаж и подготвя нови кибератаки.

GreyEnergy е засечен от анализаторите на ESET при таргетирани атаки срещу организации в Украйна и Полша, които обаче не са нанесли значими щети. Името на заплахата е заигравка с BlackEnergy – зловреден код, който през декември 2015 г. предизвика авария в електроразпределителната мрежа на Украйна и остави 230 хил. души без електричество. „През последните 3 години забелязахме, че GreyEnergy таргетират организации в Украйна и Полша“, коментира Антон Черепанов, който оглавява разследването на ESET срещу хакерската организации.

Прочетете още: GreyEnergy: една от най-големите кибер заплахи се завръща с нов арсенал

Според Черепанов има редица сходства между зловредния код, използван от BlackEnergy и GreyEnergy. И в двата случая той е съставен от модули, целта му са едни и същи ораганизации и следите му са прикрити чрез Tor мрежата.

ESET вече предостави доказателства, че BlackEnergy има връзка с TeleBots, която таргетира организации не само в Украйна, но и по целия свят. През 2017 г. TeleBots влезе в новините заради рансъмуера NotPetya, който парализира дейността на компании в Украйна, Европа, Азия и Америка.

Засега GreyEnergy действа значително по-скрито в сравнение с BlackEnergy и TeleBots. Групата се ограничава основно до шпионаж и разузнаване, без да нанася поражения от мащабите, в които го правят BlackEnergy и TeleBots. Според ESET това означава, че в момента GreyEnergy проучва потенциални цели и се подготвя за бъдещи атаки.

Атаката с рансъмуера NotPetya и кибератаките срещу индустриални системи в Украйна са дело на една и съща група хакери. Това твърди компанията за киберсигурност ESET на базата на множество открити сходства в кодовете, използвани за двете атаки.

„Още когато Industroyer порази електроразпределението в Украйна се появиха спекулации, че има връзка между Industroyer и TeleBots. Но досега нямаше категорични доказателства за това“, коментира пред Welivesecurity Антон Черепанов, анализтор на ESET.

TeleBots са група хакери, която се счита за автор на атаката с NotPetya. Това е рансъмуер, който през юни 2017 г. нанесе значими поражения на организации от целия свят. Основни цели на NotPetya бяха украински банки и други организации, въпреки че рансъмуерът беше засечен и в страни като Германия, Полша, Италия, Великобритания и САЩ.

В края на 2016 г. Украйна пострада от друга мащабна кибератака. Тя беше осъществена с малуера Industroyer, създаден специално, за да таргетира индустриални системи за контрол. Атаката предизвика проблеми с електрозахранването в различни региони на Украйна. Това беше втората голяма атака срещу електроразпределителната мрежа на Украйна. Подобна атака се случи и в края на 2015 г.

Името на TeleBots беше спрягано като организатор на атаката с Industroyer, без да има категорични доказателства за това.

Сега от ESET вярват, че са открили такива. През април компанията е засякла опит на TeleBots да зарази система с бекдор, който който е подобрена версия на кода, използван за заразяване на индустриалните системи с Industroyer през 2015г. „Откритието ни показва, че TeleBots все още са активни и продължават да подобряват инструментите и тактиките, които използват“, коментира Черепаров.

Сравнение: вляво е кодът на използваният бекдор, наречен Exaramel. Вдясно е кодът, използван за активирането на Industroyer през 2015г. 

NotPetya влезе в новините заради мащабa на щетите, които нанесе. Някои от засегнатите компании – като спеидиторската фирма AP Moller-Maersk – съобщиха за загуби от порядъка на стотици милиони като резултат от NotPetya.

Рансъмуерът е една от основните заплахи за бизнеса, тъй като може да доведе до значими загуби на данни и да парализира дейността на цели компании. В края на септември рансъмуер блокира част от административните дейности на пристанището в Сан Диего.

По-рано през 2018 г. рансъмуерът SamSam доведе до блокиране на работата на Колорадския департамент по транспорта. Около месец по-късно същият малуер направи невъзможно за гражданите на Атланта да си плащат задълженията към кметството.