ESET указывает на тех, кто несет ответственность за атаку с помощью программного обеспечения Industroyer
Специалисты ESET представляют интересные доказательства, указывающие на хакеров, ответственных за нападения на компании, связанные с энергетикой. Речь идет о вредоносных программах Industroyer, которые когда-то позволяли лишить электричества и газа более миллиона жителей Украины. Благодаря собранным доказательствам нападения были приписаны преступной группе TeleBots, и было также показано, что ее филиал (первоначально действующий под названием BlackEnergy) шпионит за русскими энергетическими компаниями с 2015 года, и, следовательно, есть также ссылки на выкупленное программное обеспечение NotPetya.
Как оказалось, группа TeleBots недавно попыталась использовать в программном обеспечении новый тип бэкдора, который ESET определяет как Exaramel. Анализ специалистов показал много общего с кодом, используемым в программном обеспечении Industroyer, что позволило назначить предыдущую атаку той же преступной группе. Напомним, что это вредоносное ПО позволило злоумышленникам менее двух лет назад взять под контроль протоколы связи, используемые в электроэнергетике, и, как следствие, лишить многих жителей Украины электроэнергии и газа.
Специалисты также обращают внимание на группу TeleBots, которая в настоящее время работает под названием GrayEnergy (ранее BlackEnergy). По словам старшего аналитика по угрозам ESET Камила Садковски, по крайней мере с 2015 года, эта группа сосредоточена на шпионаже в первую очередь на украинском, а также на русских энергетических компаниях. Перспективные целенаправленные атаки (APT) группы GreyEnergy включают внедрение вредоносного программного обеспечения на компьютеры конкретных компаний и учреждений. Установленные угрозы могут украсть любые конфиденциальные данные, такие как логины и пароли, а также сделать скриншоты и отправить их на серверы киберпреступников. Специалисты ESET отмечают, что целью GrayEnergy является атака на рабочие станции, контролирующие ход производственных процессов с использованием программного обеспечения SCADA. Однако недавняя деятельность предполагает их готовность исследовать безопасность, механизмы и структуру сети в данной компании, а это, в свою очередь, является явным признаком того, что группа может быть готова начать атаку.
комментариев