Подключаемые модули BlackEnergy для вредоносных программ


Глобальные исследования «Лаборатории Касперского» & Команда аналитиков на прошлой неделе опубликовала интересный отчет, в котором подробно рассказывалось о том, что криминальный шпион стал инструментом кибершпионажа BlackEnergy.

Первоначально определенная несколько лет назад, первоначальной целью BlackEnergy был запуск DDoS-атак с помощью пользовательских плагинов. Со временем BlackEnergy2 и BlackEnergy3 эволюционировали и в конечном итоге были замечены при загрузке дополнительных пользовательских плагинов, которые использовались для спам-прогонов и сбора информации онлайн-банкинга, согласно исследователям Касперского Курту Баумгартнеру и Марии Гарнаевой. В последнее время вредоносная программа была принята командой Sandworm, группой, связанной с кибершпионажем, включая нацеливание на промышленные системы SCADA..

В отчете Касперского подробно описаны две неназванные жертвы BlackEnergy, которые подверглись нападению летом 2014 года:

Первым был фишинг с электронной почтой, содержащей эксплойт WinRAR. Затем скрытый исполняемый файл удалил различные плагины BlackEnergy.

Вторая жертва была взломана с использованием украденных учетных данных VPN предыдущей жертвы, что привело к уничтожению некоторых бизнес-данных, и тот, кто атаковал жертву номер два, также не был доволен Касперским, так как они оставили следующее сообщение в сценарии tcl: «Fuck U, kaspeRsky» !! Ты никогда не получишь свежую Black En3rgy.

Хакеры приветствовали легкость компрометации маршрутизаторов Cisco компании, на которых все работали в разных версиях IOS, однако автор сценария сказал: «Спасибо C1sco ltd за встроенные backd00rs». & 0-дней «.

В недавнем сообщении в блоге от iSIGHT Partners подробно описана уязвимость нулевого дня в Windows (CVE-2014-4114), которая затронула все версии Microsoft Windows и Server 2008 и 2012. Эта уязвимость, по словам компании, способствовала кампании кибершпионажа на базе BlackEnergy, нацеленной на НАТО, украинские правительственные организации, правительства Западной Европы, энергетический сектор в Польше, европейские телекоммуникационные компании и академические учреждения в США. iSIGHT приписал эту кампанию России.

И, по данным Министерства внутренней безопасности США, BlackEnergy скрывается в ключевых компьютерах США с 2011 года и собирается нанести ущерб критически важной инфраструктуре. ABC News заявляет, что источники в национальной безопасности США утверждают, что обладают доказательствами, которые также указывают на жесткую точку обвинения в направлении России, предполагая, что команда Sandworm может на самом деле финансироваться государством.

Как российской компании, возможно, неудивительно узнать, что исследователи Касперского не смогли идентифицировать Россию как виновника различных атак BlackEnergy, хотя, честно говоря, они обнаружили, что одна из «команд DDoS, предназначенных для этих маршрутизаторов», была 188.128.123.52, который, по их словам, «принадлежит Министерству обороны России». Другой IP-адрес, указанный Баумгартнером и Гарнаевой – 212.175.109.10 – принадлежит правительственному сайту Министерства внутренних дел Турции. По их словам, эти два открытия делают неясным, кто стоит за атаками.

Исследования Баумгартнера и Гарнаевой также показывают, как распространение плагинов для BlackEnergy дало инструменту широкий спектр возможностей. К ним относятся инструмент DDoS, специально созданный для систем ARM / MIPS, возможность очистки дисков или их загрузки без загрузки, а также различные плагины для сканирования портов и кражи сертификатов, а также резервный канал связи в виде учетных записей Google Plus, которые может использоваться для загрузки запутанных командных и управляющих данных из зашифрованного файла изображения PNG. Исследователи сказали, что плагин “grc”, используемый в этом случае, был разработан, чтобы содержать новый адрес команд и управления, но они не наблюдали за тем, какой используется.

Еще одним любопытным моментом, упомянутым в отчете Kaspersky, был тот факт, что некоторые плагины были предназначены для сбора информации об оборудовании на зараженных системах, включая данные материнской платы, информацию о процессоре и используемую версию BIOS. Другие плагины собирали информацию о подключенных USB-устройствах, что привело исследователей к выводу, что другие, пока еще неопознанные плагины, могут использоваться для заражения дальнейшего повреждения на основе информации, переданной обратно в центр управления и контроля..

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map