Tim za Globalno istraživanje i analizu kompanije Kaspersky Lab otkrio je znake do sada nepoznatih napada APT hakerske grupe BlackEnergy sa ruskog govornog područja. Stručnjaci iz kompanije Kaspersky Lab pronašli su „fišing“ dokument u kojem se pominje radikalna desničarska nacionalistička partija „Desni sektor” i veruje se da je taj dokument korišćen u napadu na popularni ukrajinski televizijski kanal.
BlackEnergy predstavlja krajnje dinamičnu pretnju, i poslednji napadi u Ukrajini ukazuju na to da su destruktivni napadi glavni cilj ove grupe, kao i kompromitovanje industrijskih kontrolnih instalacija i sajber špijunskih aktivnosti. Iako je Black Energy grupa prvobitno bila fokusirana na DDoS napade, u međuvremenu se razvila i sada poseduje veliki broj različitih alata za napad. Ovi alati korišćeni su za ATP aktivnosti grupe, uključujući geopolitičke operacije kao što je talas napada na nekoliko ključnih sektora u Ukrajini krajem 2015. godine.
Uprkos činjenici da je detektovana više puta, BlackEnergy grupa nastavlja sa svojim aktivnostima i predstavlja značajnu opasnost.
Od sredine 2015. godine, BlackEnergy ATP grupa aktivno je koristila „spear-phishing“ i-mejlove koji su sadržali štetna Excel dokumenta sa makro instrukcijama kojima bi zarazili računare u ciljanoj mreži. Međutim, u januaru ove godine, istraživači kompanije Kaspersky Lab otkrili su novi štetni dokument koji inficira sistem BlackEnergy trojan virusom. Ovog puta, umesto Excel dokumenata koji su korišćeni u prethodnim napadima, korišćen je Word dokument.
Kad korisnik otvori dokument, pojavi se prozor koji preporučuje korišćenje makro instrukcija kako bi bilo moguće pristupiti sadržaju. Upotreba ove opcije služi kao okidač za infekciju BlackEnergy štetnim programom. Kada postane aktivan unutar računara žrtve, štetni program šalje osnovne informacije o zaraženoj mašini na komandni i kontrolni server. Jedno od polja u okviru veze sa komandnim i kontrolnim serverom koja šalje štetni program sadrži niz koji se odnosi na identifikaciju žrtve. Dokument koji su stručnjaci iz kompanije Kaspersky Lab analizirali sadržao je identifikacioni kod „301018stb”, pri čemu se „stb” verovatno odnosi na ukrajinsku televizijsku stanicu „STB”. Ova televizijska stanica je i ranije bila žrtva BlackEnergy Wiper napada u oktobru 2015. godine.
Zaraženi računar može da preuzme i dodatne štetne module nakon infekcije. U zavisnosti od toga koja verzija trojan virusa je upotrebljena, posledice dodatnih napada mogu varirati od sajber špijunaže do brisanja podataka.
BlackEnergy ATP grupa pridobila je pažnju kompanije Kaspersky Lab još tokom 2014. godine kad je počela da razvija priključke za SCADA sistem u napadima na komandne i energetske sektore širom sveta, što navodi na zaključak da je grupa posebno aktivna u sledećim sektorima:
- ICS, energetskom i u sektoru medija u Ukrajini
- ICS/SCADA kompanijama širom sveta
- Svetskim energetskim kompanijama
You must be logged in to post a comment.