Pod koniec grudnia ukraińskie przedsiębiorstwa energetyczne padły ofiarą ataku cybernetycznego, którego efektem była kilkugodzinna przerwa w dostawach prądu do ukraińskich mieszkań. Na początku stycznia eksperci z firmy antywirusowej ESET poinformowali, że wspomniana przerwa w dostawie prądu była prawdopodobnie skutkiem działania zagrożeń BlackEnergy i KillDisk, jakimi atakujący zainfekowali komputery pracowników jednego z lokalnych dostawców energii.

Można by pomyśleć, że najnowszy atak jest powiązany z poprzednim. Szczególnie dlatego, że cyberprzestępcy w obu przypadkach inicjowali infekcję poprzez wiadomości mailowe i złośliwe makra ukryte w załączanych plikach pakietu Office. To, co odróżnia oba ataki, to zagrożenie pobierane na komputer ofiary przez wspomniane makra. Analitycy podkreślają, że wykryte przez nich w najnowszym ataku zagrożenie oczekuje na komplet instrukcji działania od atakujących.

Podobnie jak wtedy i tym razem cyberprzestępcy wysłali wiadomości, które poprzez socjotechniczne sztuczki przekonywały odbiorców – pracowników ukraińskich przedsiębiorstw energetycznych – do otwarcia załączonego pliku o rozszerzeniu .xls oraz do zignorowania wbudowanego systemu ostrzegania przed zagrożeniami (Microsoft Office Security Warning). Oprócz załącznika, w treści wiadomości znajdował się także link do pliku graficznego .png, dzięki któremu atakujący zyskali dokładną statystykę skuteczności ataku (każdy pobrany z serwera obrazek odpowiada jednemu otwarciu maila z pułapką).

Rdzeniem ataku były złośliwe makra ukryte w dokumentach Office załączonych do wiadomości e-mail. Po uruchomieniu dodanego do wiadomości pliku użytkownikowi wyświetlany był następujący komunikat (tłumaczenie oryginalnej treści):

„Uwaga! Niniejszy dokument został utworzony w nowszej wersji pakietu Microsoft Office. Makra są potrzebne, aby wyświetlić zawartość dokumentu”.

Po włączeniu makr automatycznie uruchamiał się trojan, który pobierał kolejne złośliwe pliki ze zdalnego serwera cyberprzestępcy. W tym ataku nie wykorzystano zagrożenia BlackEnergy, odpowiedzialnego prawdopodobnie za przerwanie dostaw energii elektrycznej do gospodarstw w ukraińskim obwodzie iwanofrankiwskim. Tym razem na komputerze pracowników przedsiębiorstw energetycznych została zainstalowana zmodyfikowana wersja bezpłatnego backdoora o nazwie gcat. Backdoor ten umożliwia atakującemu zlecenie pobrania z sieci kolejnych plików, ich uruchomienie i wykonanie dowolnej komendy wiersza poleceń. Backdoor jest kontrolowany przez cyberprzestępców poprzez konta Gmail. W opinii ekspertów z firmy ESET to dodatkowo zabezpiecza i utrudnia identyfikację ataku w zaatakowanej sieci.

Autor: Karolina Skrzypczyk, Dagma