BlackEnergy-malware-invoegtoepassingen lopen hoog op

Wereldwijd onderzoek van Kaspersky Lab & Analyseteam publiceerde vorige week een interessant rapport met details over de crimeware bleek cyberspionage tool BlackEnergy.

BlackEnergy werd voor het eerst enkele jaren geleden geïdentificeerd en was oorspronkelijk bedoeld om DDoS-aanvallen te lanceren via aangepaste plug-ins. In de loop van de tijd zijn BlackEnergy2 en BlackEnergy3 geëvolueerd en werden uiteindelijk gespot bij het downloaden van extra aangepaste plug-ins die werden gebruikt voor spamruns en het verzamelen van informatie over online bankieren, aldus Kaspersky-onderzoekers Kurt Baumgartner en Maria Garnaeva. De laatste tijd is de malware overgenomen door het Sandworm Team, een groep gekoppeld aan cyberspionage, inclusief de targeting van industriële SCADA-systemen.

Het Kaspersky-rapport bevat twee naamloze slachtoffers van BlackEnergy die in de zomer van 2014 zijn aangevallen:

De eerste was een speer met een e-mail met een WinRAR-exploit. Het verborgen uitvoerbare bestand liet vervolgens verschillende BlackEnergy-plug-ins vallen.

Het tweede slachtoffer werd gehackt met behulp van de gestolen VPN-inloggegevens van het vorige slachtoffer, wat leidde tot de vernietiging van sommige bedrijfsgegevens en degene die slachtoffer nummer twee aanviel, was ook niet erg tevreden met Kaspersky, omdat ze het volgende bericht achterlieten in een tcl-script – “Fuck U, kaspeRsky !! Je krijgt nooit een nieuwe Black En3rgy. ‘

Het gemak waarmee de Cisco-routers van het bedrijf, die allemaal verschillende IOS-versies hadden, gecompromitteerd werd, werd door de hackers verwelkomd, hoewel de scriptschrijver zei: “Bedankt C1sco ltd voor ingebouwde backd00rs & 0-dagen.”

Een recent blogbericht van iSIGHT Partners beschrijft een zero-day kwetsbaarheid van Windows (CVE-2014-4114) die alle versies van Microsoft Windows en Server 2008 en 2012 trof. Die kwetsbaarheid, aldus het bedrijf, vergemakkelijkte een door BlackEnergy aangedreven cyberspionagecampagne die gericht was op NAVO, Oekraïense overheidsorganisaties, West-Europese overheden, de energiesector in Polen, Europese telecombedrijven en academische instellingen in de VS. iSIGHT schreef die campagne toe aan Rusland.

En volgens het Amerikaanse ministerie van Binnenlandse Veiligheid verstopt BlackEnergy zich sinds 2011 in belangrijke Amerikaanse computers en zal het kritieke infrastructuur verwoesten. ABC News zegt dat Amerikaanse nationale veiligheidsbronnen beweren in het bezit te zijn van bewijsmateriaal dat ook een stevige beschuldigende vinger in de richting van Rusland wijst, wat suggereert dat het Sandworm Team in feite door de staat gesponsord kan worden.

Als een Russisch bedrijf is het misschien niet zo verwonderlijk om te horen dat de onderzoekers van Kaspersky stoppen met het identificeren van moeder Rusland als dader achter de verschillende BlackEnergy-aanvallen, maar om eerlijk te zijn, ontdekten ze dat een van “de DDoS-opdrachten bedoeld voor deze routers” was 188.128.123.52 die, zeggen ze, ‘van het Russische ministerie van Defensie’ is. Een ander IP-adres dat door Baumgartner en Garnaeva is geïdentificeerd – 212.175.109.10 – behoort tot de regeringssite van het Turkse ministerie van Binnenlandse Zaken. Deze twee ontdekkingen, zeggen ze, maken het onduidelijk wie er achter de aanslagen zit.

Het onderzoek van Baumgartner en Garnaeva laat ook zien hoe de verspreiding van plug-ins voor BlackEnergy de tool een breed scala aan mogelijkheden heeft gegeven. Deze omvatten een DDoS-tool die speciaal is gemaakt voor ARM / MIPS-systemen, de mogelijkheid om schijven te wissen of ze niet-opstartbaar te maken en een verscheidenheid aan plug-ins voor poortscannen en certificaatstelen, evenals een back-upcommunicatiekanaal in de vorm van Google Plus-accounts die kan worden gebruikt om verborgen commando’s en besturingsgegevens te downloaden van een gecodeerd PNG-afbeeldingsbestand. De onderzoekers zeiden dat de ‘grc’ plugin die in dit geval werd gebruikt, een nieuw commando- en controleadres bevatte, maar ze zagen niet dat er een werd gebruikt.

Een andere curio die in het Kaspersky-rapport werd genoemd, was het feit dat sommige plug-ins zijn ontworpen om hardware-informatie over geïnfecteerde systemen te verzamelen, waaronder moederbordgegevens, processorinformatie en de gebruikte BIOS-versie. Andere plug-ins verzamelden informatie over aangesloten USB-apparaten, waardoor de onderzoekers concluderen dat andere, nog niet geïdentificeerde plug-ins kunnen worden gebruikt om verdere schade te infecteren, op basis van de informatie die is doorgegeven aan het commando- en controlecentrum.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map