17 października 2018

ESET wskazał hakerów odpowiedzialnych za ataki na Ukrainę… i Polskę!

Badacze z firmy ESET odkryli dowody, które przypisują grupie cyberprzestępczej TeleBots ataki związane z ransomwarem Petya/NotPeya oraz słynnym Industroyerem - szkodliwym oprogramowaniem, które pozbawiło ponad milion mieszkańców Ukrainy prądu i gazu. Co więcej, badacze z ESET wykazali, że odłam TeleBots, działający pod nazwą GreyEnergy, od 2015 roku szpieguje również polskie firmy energetyczne.

Eksperci z firmy ESET dokonali ciekawego odkrycia. Jak wykazały ich najnowsze analizy, grupa cyberprzestępców TeleBots (znana wcześniej jako BlackEnergy) atakująca w przeszłości instytucje finansowe i przemysłowe na Ukrainie, próbowała ostatnio wykorzystać nowy rodzaj backdoora (wykrywanego przez ESET jako Win32/Exaramel). Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, badanie potwierdziło silne podobieństwo kodu Exaramela z kodem backdoora Industroyer, który w 2015 zaatakował elektrownie, wodociągi, czy rozdzielnie gazu na Ukrainie. Atak pozwolił przejąć kontrolę nad znajdującymi się w podstacjach elektrycznych przełącznikami i wyłącznikami. W tym celu wykorzystywał przemysłowe protokoły komunikacyjne stosowane w infrastrukturze zasilania, systemach kontroli transportu i innych ważnych systemach infrastruktury krytycznej (woda, gaz), które są używane na całym świecie. TeleBots była odpowiedzialna również za zeszłoroczny atak skierowany na ukraińskie firmy i instytucje, w którym cyberprzestępcy wykorzystali złośliwą aktualizację popularnego na Ukrainie programu do rozliczeń finansowych M.E.Doc w celu propagacji zagrożenia ransomware Petya/NotPetya. Efektem ataku było zaszyfrowanie ogromnej ilości komputerów na Ukrainie. Skutki ataku były odczuwalne przez ukraińskie, rosyjskie oraz polskie przedsiębiorstwa i spowodowały gigantyczne straty finansowe.

Nowy odłam TeleBots – GreyEnergy atakuje także w Polsce

Eksperci ESET wykazali, że z cyberprzestępczej grupy BlackEnergy wyrósł nowy odłam - GreyEnergy, który jest ściśle powiązany także z TeleBots, a tym samy z zagrożeniem NotPetya. Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, grupa GreyEnergy, co najmniej od 2015 roku, koncentruje się na szpiegowaniu ukraińskich i polskich firm energetycznych.

Zaawansowane ataki ukierunkowane (APT) grupy GreyEnergy polegają na wprowadzaniu złośliwego oprogramowania do komputerów konkretnych firm i instytucji. Instalowane zagrożenia są w stanie wykradać dowolne poufne dane takie jak loginy i hasła, a także wykonywać zrzuty ekranu i przesyłać je na serwery cyberprzestępców.

Kamil Sadkowski
ESET

Jak wskazuje ekspert, celem strategicznym GreyEnergy są ataki na stacje robocze kontroli przemysłowej (ICS) nadzorujące przebieg procesów produkcyjnych za pomocą oprogramowania SCADA. Wykryta aktywność hakerów świadczy o chęci zbadania zabezpieczeń i struktury sieci informatycznych należących do przedsiębiorstw sektora energetycznego. Według ekspertów z ESET działania te mogą sygnalizować zamiar przeprowadzania ataku na wspomniane sieci.

Autorem tekstu jest Katarzyna Pilawa

Marcin Mazur

Marcin Mazur
senior PR officer

Masz pytania?
Skontaktuj się ze mną:
mazur.m@dagma.pl
32 793 12 48

Podobne wpisy:

Polecane wydarzenia: