Tech hvg.hu 2018. november. 02. 10:03

ESET: nagyszabású szabotázsakció készül az áramhálózatok ellen

Az ESET kiberbiztonsági vállalat által felfedezett, GreyEnergy névre keresztelt csoport fő tevékenysége a kémkedés és felderítés, amely feltehetően egy későbbi nagyszabású szabotázsakció előkészítésére szolgál.

Az Ukrajnát évek óta terrorizáló BlackEnergy 2015 decemberében vált ismerté, amikor 230 ezer embert érintő áramkimaradást okozott. Ez volt az első bizonyítottan kibertámadás okozta áramszünet. A támadással egy időben az ESET szakemberei elkezdtek felderíteni egy másik kiberbűnözői csoportot, a GreyEnergyt. "Észrevettük, hogy a GreyEnergy számos energiavállalat elleni támadásban vett részt Ukrajnában és Lengyelországban az elmúlt három év során” – mondja Anton Cherepanov, a vállalat vezető biztonsági kutatója.

Az Ukrajna elleni nagyszabású kibertámadás volt az utolsó olyan ismert akció, amelynek során a BlackEnergy eszközkészletét használták. Az ESET szakemberei ezt követően dokumentálták egy új APT alcsoport, a TeleBots működését. A TeleBots csoport leginkább a NotPetya, egy 2017-es globális üzleti tevékenységet megzavaró merevlemez-törlő akció révén ismerhető. Ahogy azt a szakemberek nemrégiben megerősítették, a TeleBots az Industroyer-hez is köthető, amely a legerősebb, ipari irányítórendszereket támadó modern kártevő. Ez a vírus volt felelős az ukrán fővárost sújtó 2016-os áramkimaradásért.

Befüstülnek az áramhálózatoknak?
Pixabay / ADD

A szakértők szerint az GreyEnergy kártevők szorosan összefüggnek a BlackEnergy és a TeleBots rosszindulatú programokkal. Ezek felépítése moduláris, így a rosszindulatú program aktuális funkcionalitása attól függ, hogy a modulok milyen kombinációját töltik fel az áldozatok rendszereire. Az ESET elemzésében leírt modulokat kémkedésre és felderítésre használták, és többek között hátsóajtó, fájlkicsomagoló, képernyőfelvétel-készítő, billentyűleütés-figyelő, jelszavakat és hitelesítőket kiszivárogtató funkciókat foglal magában.

Az ESET kutatói több érvet is közzétettek annak alátámasztására, hogy a GreyEnergynek és a BlackEnergynek közük van egymáshoz. Egyrészt a GreyEnergy feltűnése egybeesik a BlackEnergy eltűnésével. A GreyEnergy legalább egy áldozatát korábban a BlackEnergy is támadta. Mindkét csoport az energiaszektorban és a kritikus infrastruktúrákban érdekelt, és elsősorban ukrán, másodsorban pedig lengyel áldozataik vannak.

Technikai érv, hogy a kártevők keretrendszere igen hasonló. Mindkettő moduláris és mindkettő „mini” hátsóajtót telepít, mielőtt megszerzik az admin jogosultságokat és a teljes verziót installálják.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

Hirdetés