Plugin-urile malware BlackEnergy rulează în mod extraordinar

Cercetarea globală a Kaspersky Lab & Echipa de analiză a publicat săptămâna trecută un raport interesant în care se detaliază instrumentul de criminalitate a instrumentului de spionaj cibernetic BlackEnergy.

Pentru prima dată identificat cu câțiva ani în urmă, scopul inițial al BlackEnergy a fost lansarea atacurilor DDoS prin intermediul pluginurilor personalizate. De-a lungul timpului, BlackEnergy2 și BlackEnergy3 au evoluat și, în cele din urmă, au fost depistate descărcând plug-in-uri suplimentare personalizate care au fost folosite pentru spam-uri și recoltarea informațiilor bancare online, potrivit cercetătorilor Kaspersky Kurt Baumgartner și Maria Garnaeva. În ultima vreme, malware-ul a fost adoptat de Sandworm Team, un grup legat de spionaj cibernetic, inclusiv vizarea sistemelor SCADA industriale.

Raportul Kaspersky a detaliat două victime fără nume BlackEnergy care au fost atacate în vara lui 2014:

Primul a fost spear phishing cu un e-mail conținând un exploat WinRAR. Fișierul executabil ascuns a scăzut apoi diferite plugin-uri BlackEnergy.

Cea de-a doua victimă a fost hacked folosind acreditările VPN furate ale victimei anterioare, ceea ce a dus la distrugerea unor date de afaceri și cine a atacat victima numărul doi nu a fost cel mai mulțumit de Kaspersky, deoarece au lăsat următorul mesaj într-un script tcl – „Fuck U, kaspeRsky !! Nu primiți niciodată un Black En3rgy. ”

Ușoritatea cu care ruterele Cisco ale companiei, care rulau diferite versiuni IOS, au fost compromise a fost binevenită de hackeri, însă scriitorul a spus „Mulțumesc C1sco ltd pentru backd00rs & 0-zile „.

Un blog recent publicat de la iSIGHT Partners detaliază o vulnerabilitate a Windows zero zile (CVE-2014-4114) care a afectat toate versiunile Microsoft Windows și Server 2008 și 2012. Acea vulnerabilitate, a spus compania, a facilitat o campanie de spionaj cibernetic alimentată de BlackEnergy, care a vizat NATO, organizații guvernamentale ucrainene, guverne din Europa de Vest, sectorul energetic din Polonia, companii europene de telecomunicații și instituții academice din SUA. iSIGHT a atribuit acea campanie Rusiei.

Și, potrivit Departamentului de Securitate Interioară al SUA, BlackEnergy se ascunde în computerele cheie din SUA din 2011 și urmează să producă ravagii cu infrastructura critică. ABC News spune că surse de securitate națională din SUA au susținut că deține dovezi care indică, de asemenea, un deget puternic de vină în direcția Rusiei, ceea ce sugerează că echipa Sandworm poate fi de fapt sponsorizată de stat.

În calitate de companie rusă, este probabil că nu este surprinzător să afle că cercetătorii Kaspersky au încetat să identifice mama Rusiei ca făptașă din spatele diferitelor atacuri BlackEnergy, însă, pentru a fi corect, au descoperit că una dintre „comenzile DDoS destinate acestor routere” a fost 188.128.123.52 care, spun ei, „aparține Ministerului Apărării din Rusia.” O altă adresă IP identificată de Baumgartner și Garnaeva – 212.175.109.10 – aparține site-ului guvernamental al Ministerului Turc al Internelor. Aceste două descoperiri, spun ei, fac să nu fie clar cine se află în spatele atacurilor.

Cercetările lui Baumgartner și Garnaeva dezvăluie, de asemenea, modul în care proliferarea plug-in-urilor pentru BlackEnergy a oferit instrumentului o gamă largă de capabilități. Acestea includ un instrument DDoS special conceput pentru sistemele ARM / MIPS, posibilitatea de a șterge unități sau de a le face neîncărcate și o varietate de plug-uri de scanare a porturilor și furturi de certificate, precum și un canal de comunicare de rezervă sub forma conturilor Google Plus care ar putea fi utilizat pentru a descărca date de comandă și control oftalmate dintr-un fișier de imagine PNG criptat. Cercetătorii au spus că pluginul „grc” utilizat în această instanță a fost conceput pentru a conține o nouă adresă de comandă și control, dar nu au observat că una este folosită.

Un alt curio menționat în raportul Kaspersky a fost faptul că unele plug-in-uri au fost concepute pentru a colecta informații hardware pe sistemele infectate, inclusiv date de la placa de bază, informații despre procesor și versiunea BIOS folosită. Alte plug-in-uri adunau informații despre dispozitivele USB atașate, ceea ce i-a determinat pe cercetători să ajungă la concluzia că alte plug-in-uri încă neidentificate pot fi folosite pentru a infecta daune suplimentare, pe baza informațiilor comunicate înapoi la centrul de comandă și control..