一系列新的惡意軟體感染了烏克蘭和波蘭的設備。從技術上講,它與 BlackEnergy、Industroyer 和 NotPetya 有關,這些公司過去已經造成過停電和電腦破壞。
2015 年底,來自 BlackEnergy 組織的駭客率先破壞公共基礎設施,透過潛入超過一百萬烏克蘭人處於黑暗之中。 2016年底,他們再次使用惡意軟體進行了這樣的行為工業家,它與 BlackEnergy 工具共享代碼。許多專家將這些駭客與俄羅斯服務聯繫起來,他們繼續用新的、更複雜的工具編織他們的網路。
Eset 安全研究人員剛剛透露了葛瑞能源,一組用於監視工業設備(特別是能源領域的設備)的惡意軟體和技術。 “在過去的三年裡,我們目睹了 GreyEnergy 駭客攻擊烏克蘭和波蘭的能源公司和其他高度敏感目標。「,Eset 安全研究員 Anton Cherepanov 解釋道。
目前,GreyEnergy 是一場間諜活動。使用的惡意軟體允許駭客提取檔案、截取螢幕截圖、攔截擊鍵、竊取密碼等。目標系統是控制工業基礎設施所使用的軟體和 SCADA 伺服器的控制站。
為了感染這些終端,駭客會發送有針對性的惡意電子郵件(魚叉式網路釣魚)或攻擊伺服器。攻擊向量使他們能夠在目標網路中站穩腳跟。然後攻擊者橫向移動以找到感興趣的終端。然後,他們部署代理伺服器網路來逐步竊取資料。
研究人員表示,GreyEnergy 與 BlackEnergy 有許多相似之處。這兩類惡意軟體具有相同的模組化結構,並依靠輕量級後門來感染目標終端並部署不同的模組(有效負載)。這兩個組織也都使用 Tor 中繼作為命令和控制 (C&C) 伺服器。
最大的區別在於 GreyEnergy 更加謹慎。駭客很小心,只下載絕對必要的模組。其中一些模組採用 AES 256 位元加密,其他模組僅載入到 RAM 中。這使得他們不會在目標電腦的磁碟上留下任何痕跡(「無檔案」)。使用代理伺服器還可以限制可疑痕跡,因為被駭客攻擊的控制站最初與內部設備通訊。這可能看起來很正常。
身分盜竊
GreyEnergy 駭客也利用台灣供應商 Advantech 的電子簽名來偽裝某些惡意軟體,該供應商在工業領域非常普遍。 “這與著名的 Stuxnet 攻擊中使用的方法類似»,參與這項發現的另一位 Eset 研究人員 Robert Lipovsky 強調。
另一個有趣的細節:從 GreyEnergy 出現在 Eset 雷達上的那一刻起,BlackEnergy 這邊就陷入了無線電靜默。研究人員因此表示,在某種程度上,GreyEnergy 是 BlackEnergy 的繼承者,擁有新的、更複雜的工具。
GreyEnergy 組織也與 Telebots 組織有聯繫,該組織負責傳播 NotPeya 蠕蟲病毒,這是一種偽勒索軟體,其目的是破壞在烏克蘭運營的公司。事實上,2016 年 12 月發現的 GreyEnergy 惡意軟體樣本包含隨後用於建立 NotPetya 的程式碼。
因此,GreyEnergy 加入了一個以特別有害和危險的攻擊而聞名的惡意軟體家族。目前,我們不知道為什麼所有這些工業設備都受到監視。但考慮到過去的行動,這並不令人放心。
