Czy to ci cyberprzestępcy są odpowiedzialni za ataki na Ukrainę... i Polskę!?

17-10-2018, 19:02

Odkryto dowody, które mogą świadczyć o zaangażowaniu grupy cyberprzestępczej TeleBots w ataki związane z ransomwarem Petya/NotPeya oraz słynnym Industroyerem - szkodliwym oprogramowaniem, które pozbawiło ponad milion mieszkańców Ukrainy prądu i gazu. Co więcej, badacze  wykazali, że odłam TeleBots, działający pod nazwą GreyEnergy, od 2015 roku szpieguje również polskie firmy energetyczne.

Eksperci z firmy ESET dokonali ciekawego odkrycia. Jak wykazały ich najnowsze analizy, grupa cyberprzestępców TeleBots (znana wcześniej jako BlackEnergy) atakująca w przeszłości instytucje finansowe i przemysłowe na Ukrainie, próbowała ostatnio wykorzystać nowy rodzaj backdoora (wykrywanego przez ESET jako Win32/Exaramel). Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, badanie potwierdziło silne podobieństwo kodu Exaramela z kodem backdoora Industroyer, który w 2015 zaatakował elektrownie, wodociągi, czy rozdzielnie gazu na Ukrainie. Atak pozwolił przejąć kontrolę nad znajdującymi się w podstacjach elektrycznych przełącznikami i wyłącznikami. W tym celu wykorzystywał przemysłowe protokoły komunikacyjne stosowane w infrastrukturze zasilania, systemach kontroli transportu i innych ważnych systemach infrastruktury krytycznej (woda, gaz), które są używane na całym świecie. TeleBots była odpowiedzialna również za zeszłoroczny atak skierowany na ukraińskie firmy i instytucje, w którym cyberprzestępcy wykorzystali złośliwą aktualizację popularnego na Ukrainie programu do rozliczeń finansowych M.E.Doc w celu propagacji zagrożenia ransomware Petya/NotPetya. Efektem ataku było zaszyfrowanie ogromnej ilości komputerów na Ukrainie. Skutki ataku były odczuwalne przez ukraińskie, rosyjskie oraz polskie przedsiębiorstwa i spowodowały gigantyczne straty finansowe.

Nowy odłam TeleBots – GreyEnergy atakuje także w Polsce

Eksperci wykazali, że z cyberprzestępczej grupy BlackEnergy wyrósł nowy odłam - GreyEnergy, który jest ściśle powiązany także z TeleBots, a tym samy z zagrożeniem NotPetya. Jak wskazuje Sadkowski, GreyEnergy, co najmniej od 2015 roku, koncentruje się na szpiegowaniu ukraińskich i polskich firm energetycznych. Zaawansowane ataki ukierunkowane (APT) grupy polegają na wprowadzaniu złośliwego oprogramowania do komputerów konkretnych firm i instytucji. Instalowane zagrożenia są w stanie wykradać dowolne poufne dane takie jak loginy i hasła, a także wykonywać zrzuty ekranu i przesyłać je na serwery cyberprzestępców.

Jak wskazuje ekspert, celem strategicznym GreyEnergy są ataki na stacje robocze kontroli przemysłowej (ICS) nadzorujące przebieg procesów produkcyjnych za pomocą oprogramowania SCADA. Wykryta aktywność hakerów świadczy o chęci zbadania zabezpieczeń i struktury sieci informatycznych należących do przedsiębiorstw sektora energetycznego. Według ekspertów z ESET działania te mogą sygnalizować zamiar przeprowadzania ataku na wspomniane sieci.

Źródło: ESET


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2018»
PoWtŚrCzwPtSbNd
 1234
567891011
12131415161718
19202122232425
2627282930 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.