一系列新的恶意软件感染了乌克兰和波兰的设备。从技术上讲,它与 BlackEnergy、Industroyer 和 NotPetya 相关,这些公司过去已经造成过停电和计算机破坏。
2015 年底,BlackEnergy 组织的黑客率先破坏公共基础设施,通过潜入超过一百万乌克兰人处于黑暗之中。 2016年底,他们再次利用恶意软件进行了这样的行为工业家,它与 BlackEnergy 工具共享代码。许多专家将这些黑客与俄罗斯服务联系起来,他们继续用新的、更复杂的工具编织他们的网络。
Eset 安全研究人员刚刚透露了葛瑞能源,一组用于监视工业设备(特别是能源领域的设备)的恶意软件和技术。 “在过去的三年里,我们目睹了 GreyEnergy 黑客攻击乌克兰和波兰的能源公司和其他高度敏感目标。“,Eset 安全研究员 Anton Cherepanov 解释道。
目前,GreyEnergy 是一场间谍活动。使用的恶意软件允许黑客提取文件、截取屏幕截图、拦截击键、窃取密码等。目标系统是控制工业基础设施使用的软件和 SCADA 服务器的控制站。
为了感染这些终端,黑客会发送有针对性的恶意电子邮件(鱼叉式网络钓鱼)或攻击服务器。攻击向量使他们能够在目标网络中站稳脚跟。然后攻击者横向移动以找到感兴趣的终端。然后,他们部署代理服务器网络来逐步窃取数据。
研究人员表示,GreyEnergy 与 BlackEnergy 有很多相似之处。这两类恶意软件具有相同的模块化结构,并依靠轻量级后门来感染目标终端并部署不同的模块(有效负载)。这两个组织还都使用 Tor 中继作为命令和控制 (C&C) 服务器。
最大的区别在于 GreyEnergy 更加谨慎。黑客很小心,只下载绝对必要的模块。其中一些模块采用 AES 256 位加密,其他模块仅加载到 RAM 中。这使得他们不会在目标计算机的磁盘上留下任何痕迹(“无文件”)。使用代理服务器还可以限制可疑痕迹,因为被黑客攻击的控制站最初与内部设备进行通信。这可能看起来很正常。
身份盗窃
GreyEnergy 黑客还利用台湾供应商 Advantech 的电子签名来伪装某些恶意软件,该供应商在工业领域非常普遍。 “这与著名的 Stuxnet 攻击中使用的方法类似»,参与这一发现的另一位 Eset 研究人员 Robert Lipovsky 强调道。
另一个有趣的细节:从 GreyEnergy 出现在 Eset 雷达上的那一刻起,BlackEnergy 这边就陷入了无线电静默。研究人员因此表示,在某种程度上,GreyEnergy 是 BlackEnergy 的继承者,拥有新的、更复杂的工具。
GreyEnergy 组织还与 Telebots 组织有联系,该组织负责传播 NotPeya 蠕虫病毒,这是一种伪勒索软件,其目的是破坏在乌克兰运营的公司。事实上,2016 年 12 月发现的 GreyEnergy 恶意软件样本包含随后用于创建 NotPetya 的代码。
因此,GreyEnergy 加入了一个以特别有害和危险的攻击而闻名的恶意软件家族。目前,我们不知道为什么所有这些工业设备都受到监视。但考虑到过去的行动,这并不令人放心。
