Os plug-ins de malware do BlackEnergy são comuns

Pesquisa Global da Kaspersky Lab & A equipe de análise publicou na semana passada um relatório interessante detalhando a ferramenta de espionagem cibernética transformada em crimeware BlackEnergy.

Identificado pela primeira vez há vários anos, o objetivo original do BlackEnergy era o lançamento de ataques DDoS por meio de plugins personalizados. Com o tempo, o BlackEnergy2 e o BlackEnergy3 evoluíram e acabaram sendo detectados no download de plug-ins personalizados adicionais, usados ​​para execuções de spam e na coleta de informações bancárias on-line, de acordo com os pesquisadores da Kaspersky Kurt Baumgartner e Maria Garnaeva. Ultimamente, o malware foi adotado pela Sandworm Team, um grupo vinculado à espionagem cibernética, incluindo o direcionamento de sistemas SCADA industriais.

O relatório da Kaspersky detalhou duas vítimas não identificadas do BlackEnergy que foram atacadas durante o verão de 2014:

A primeira foi lançada com um email contendo uma exploração do WinRAR. O arquivo executável oculto eliminou vários plugins do BlackEnergy.

A segunda vítima foi hackeada usando as credenciais de VPN roubadas da vítima anterior, levando à destruição de alguns dados comerciais e quem atacou a vítima número dois não ficou muito satisfeito com o Kaspersky, pois deixou a seguinte mensagem em um script tcl – “Foda-se, kaspeRsky !! Você nunca recebe um novo Black En3rgy.

A facilidade com que os roteadores Cisco da empresa, todos executando versões diferentes do IOS, foi comprometida pelos hackers, embora com o autor do script dizendo “Obrigado C1sco ltd por backd00rs embutidos & 0 dias. “

Uma publicação recente do blog da iSIGHT Partners detalha uma vulnerabilidade de dia zero do Windows (CVE-2014-4114) que afetou todas as versões do Microsoft Windows e Server 2008 e 2012. Essa vulnerabilidade, segundo a empresa, facilitou uma campanha de espionagem cibernética com o BlackEnergy direcionada OTAN, organizações governamentais ucranianas, governos da Europa Ocidental, setor de energia na Polônia, empresas européias de telecomunicações e instituições acadêmicas nos EUA. A iSIGHT atribuiu essa campanha à Rússia.

E, de acordo com o Departamento de Segurança Interna dos EUA, a BlackEnergy está escondida nos principais computadores dos EUA desde 2011 e deve causar estragos na infraestrutura crítica. A ABC News diz que fontes de segurança nacional dos EUA alegaram estar na posse de evidências que também apontam um dedo forte da culpa na direção da Rússia, sugerindo que a equipe de verme de areia pode de fato ser patrocinada pelo estado.

Como empresa russa, talvez não seja surpreendente saber que os pesquisadores da Kaspersky pararam de identificar a mãe Rússia como o autor por trás dos vários ataques do BlackEnergy; porém, para ser justo, eles descobriram que um dos “comandos DDoS destinados a esses roteadores” era 188.128.123.52 que, segundo eles, “pertence ao Ministério da Defesa da Rússia”. Outro endereço IP identificado por Baumgartner e Garnaeva – 212.175.109.10 – pertence ao site do governo do Ministério do Interior turco. Essas duas descobertas, dizem eles, deixam claro quem está por trás dos ataques..

A pesquisa de Baumgartner e Garnaeva também revela como a proliferação de plug-ins para o BlackEnergy deu à ferramenta uma ampla gama de recursos. Isso inclui uma ferramenta DDoS feita especificamente para sistemas ARM / MIPS, a capacidade de limpar unidades ou torná-las não inicializáveis ​​e uma variedade de plug-ins de varredura de portas e roubo de certificados, além de um canal de comunicação de backup na forma de contas do Google Plus que pode ser usado para baixar dados ocultos de comando e controle de um arquivo de imagem PNG criptografado. Os pesquisadores disseram que o plug-in ‘grc’ usado nesta instância foi projetado para conter um novo endereço de comando e controle, mas eles não observaram um sendo usado..

Outro curio mencionado no relatório da Kaspersky foi o fato de que alguns plug-ins foram projetados para coletar informações de hardware em sistemas infectados, incluindo dados da placa-mãe, informações do processador e a versão do BIOS utilizada. Outros plug-ins estavam coletando informações sobre dispositivos USB conectados, levando os pesquisadores a concluir que outros plug-ins ainda não identificados podem ser empregados para infectar danos adicionais, com base nas informações comunicadas de volta ao centro de comando e controle.