נחשפו עוד מאפיינים של קבוצת ריגול הסייבר דוברת הרוסית BlackEnergy APT
מאת:
מערכת Telecom News, 29.1.16, 08:30
על אף העובדה, שהיא נחשפה מספר פעמים,"אנרגיה שחורה" ממשיכה את פעילותה ומהווה איום משמעותי, עם חשיפה חדשה של מסמך זדוני של תוכנת וורד (ולא אקסל) מינואר 2016.
מעבדת קספרסקי חשפה מאפיינים נוספים של
BlackEnergy – קמפיין פישינג ממוקד התוקף מטרות באוקראינה. מסמך פישינג ממוקד, שאותר ע"י מומחי החברה מציין את מפלגת הימין הקיצוני האוקראינית "
Right Sector", ונראה, ששימש במסגרת התקפה נגד ערוץ טלוויזיה פופולרי באוקראינה.
BlackEnergy היא שחקנית איום דינאמית במיוחד, והמתקפות האחרונות באוקראינה מצביעות על כך, שפעולות הרסניות נמצאות אצלה במוקד הפעילות, בנוסף לפעילות לסיכון מערכות בקרה תעשייתיות ופעולות ריגול. בתחילתה, השתמשה הקבוצה בכלי
DDoS למתקפותיה ובהמשך, התרחבה לטווח רחב של כלים. באלה נעשה שימוש במגוון התקפות
APT, כולל פעולות גיאופוליטיות, כגון גל התקפות על מספר מגזרים חיוניים באוקראינה בסוף 2015.
על אף העובדה שהיא נחשפה מספר פעמים,
BlackEnergy ממשיכה את פעילותה ומהווה איום משמעותי.
מאז אמצע 2015, קבוצת
BlackEnergy פעלה באמצעות הודעות פישינג ממוקד, שנשאו קבצי אקסל זדוניים עם קוד מקרו לפגיעה במחשבים ברשת המותקפת.
עם זאת, בינואר השנה, חוקרי מעבדת קספרסקי חשפו מסמך זדוני, שפוגע במערכות עם הטרויאני
BlackEnergy, שבשונה ממסמכי אקסל, ששימשו בהתקפות קודמות, הפעם מדובר במסך של תוכנת וורד.
עם פתיחת המסמך, מוצגת למשתמש תיבת הודעה הממליצה להפעיל את פעולת ה"מקרו" כדי לאפשר צפיה בתוכן. מתן אפשרות להפעלת מקרו מאפשרת הדבקה מצד הקוד הזדוני.
ברגע שהופעל במחשב הקורבן, הקוד הזדוני שולח מידע בסיסי אודות המחשב הנגוע אל שרתי הפיקוד והשליטה (
C&C). אחד מהשדות, שנשלחים ע"י הקוד הזדוני אל ה-
C&C, מכיל מחרוזת, שכנראה מתייחסת למספר זיהוי המחשב הנגוע. המסמך, שנותח ע"י החוקרים, מכיל את המזהה "
301018stb", כאשר ייתכן, שהמחרוזת
stb מתייחסת לתחנת הטלוויזיה האוקראינית
STB. תחנה זו כבר הייתה בעבר קורבן של מתקפת
BlackEnergy Wiper באוקטובר 2015.
לאחר ההדבקה, הקוד הזדוני מסוגל להוריד תוספים זדוניים נוספים. היכולות של המטען הנוסף הזה משתנות עפ"י גרסת הסוס הטרויאני שבשימוש, החל מריגול סייבר ועד למחיקת נתונים.
קוסטין ראיו, מנהל צוות מחקר וניתוח בינלאומי של מעבדת קספרסקי: "בעבר, ראינו את קבוצת
BlackEnergy תוקפת ישויות באוקראינה באמצעות מסמכי אקסל ופאוורפוינט. השימוש במסמכי וורד היה צפוי , והממצא מאשש את החשד שלנו. באופן כללי, אנו רואים שימוש במסמכי וורד עם מקרו הופכים לנפוצים יותר בהתקפות
APT. לדוגמא, לאחרונה זיהינו את קבוצת
Turla משתמשת במסמכים עם מקרו כדי להפעיל סוג דומה של התקפות. הדבר גורם לנו להאמין כי רבות מההתקפות האלה הן מוצלחות וזו הסיבה שהפופולאריות שלהן גוברת".
קבוצת
BlackEnergy לכדה את תשומת לב החברה ב-2014 כאשר החלה להפעיל תוספים הקשורים ל-
SCADA נגד קורבנות במגזר האנרגיה ומערכות תעשייתיות (
ICS) ברחבי העולם. הדבר מוביל למסקנה, שקבוצה זו פעילה במיוחד בתחומים הבאים:
- ICS, אנרגיה, ממשל ומדיה באוקראינה,
- חברות ICS/SCADA ברחבי העולם,
- חברות אנרגיה ברחבי העולם.
החברה כבר דיווחה על
התקפות DDoS הקשורות ב-
BlackEnergy ולגבי המטענים ההרסניים שלה,
ניצול פרצות בסימנס,
התקן להתקפות על נתבים.