Az Ukrajnát évek óta terrorizáló BlackEnergy 2015 decemberében vált ismerté, amikor 230 ezer embert érintő áramkimaradást okozott. Ez volt az első bizonyítottan kibertámadás okozta áramszünet. A támadással egy időben az ESET szakemberei elkezdtek felderíteni egy másik kiberbűnözői csoportot, a GreyEnergyt. "Észrevettük, hogy a GreyEnergy számos energiavállalat elleni támadásban vett részt Ukrajnában és Lengyelországban az elmúlt három év során” – mondja Anton Cherepanov, a vállalat vezető biztonsági kutatója.

Az Ukrajna elleni nagyszabású kibertámadás volt az utolsó olyan ismert akció, amelynek során a BlackEnergy eszközkészletét használták. Az ESET szakemberei ezt követően dokumentálták egy új APT alcsoport, a TeleBots működését. A TeleBots csoport leginkább a NotPetya, egy 2017-es globális üzleti tevékenységet megzavaró merevlemez-törlő akció révén ismerhető. Ahogy azt a szakemberek nemrégiben megerősítették, a TeleBots az Industroyer-hez is köthető, amely a legerősebb, ipari irányítórendszereket támadó modern kártevő. Ez a vírus volt felelős az ukrán fővárost sújtó 2016-os áramkimaradásért.

Befüstülnek az áramhálózatoknak?

Pixabay / ADD

A szakértők szerint az GreyEnergy kártevők szorosan összefüggnek a BlackEnergy és a TeleBots rosszindulatú programokkal. Ezek felépítése moduláris, így a rosszindulatú program aktuális funkcionalitása attól függ, hogy a modulok milyen kombinációját töltik fel az áldozatok rendszereire. Az ESET elemzésében leírt modulokat kémkedésre és felderítésre használták, és többek között hátsóajtó, fájlkicsomagoló, képernyőfelvétel-készítő, billentyűleütés-figyelő, jelszavakat és hitelesítőket kiszivárogtató funkciókat foglal magában.

Az ESET kutatói több érvet is közzétettek annak alátámasztására, hogy a GreyEnergynek és a BlackEnergynek közük van egymáshoz. Egyrészt a GreyEnergy feltűnése egybeesik a BlackEnergy eltűnésével. A GreyEnergy legalább egy áldozatát korábban a BlackEnergy is támadta. Mindkét csoport az energiaszektorban és a kritikus infrastruktúrákban érdekelt, és elsősorban ukrán, másodsorban pedig lengyel áldozataik vannak.

Technikai érv, hogy a kártevők keretrendszere igen hasonló. Mindkettő moduláris és mindkettő „mini” hátsóajtót telepít, mielőtt megszerzik az admin jogosultságokat és a teljes verziót installálják.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.