מעבדת קספרסקי חושפת את BlackEnergy – קמפיין פישינג ממוקד התוקף מטרות באוקראינה

צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי חשף סימנים להתקפות שלא היו מוכרות בעבר מצד קבוצת ריגול הסייבר דוברת הרוסית BlackEnergy APT. מסמך פישינג ממוקד שאותר על ידי מומחי החברה מציין את מפלגת הימין הקיצוני האוקראינית "Right Sector", ונראה כי שימש במסגרת התקפה נגד ערוץ טלוויזיה פופולארי באוקראינה.
BlackEnergy היא שחקנית איום דינאמית במיוחד, והמתקפות האחרונות באוקראינה מצביעות על כך שפעולות הרסניות נמצאות אצלה במוקד הפעילות, בנוסף לפעילות לסיכון מערכות בקרה תעשייתיות ופעולות ריגול. בתחילתה, השתמשה הקבוצה בכלי DDoS למתקפותיה ובהמשך, התרחבה לטווח רחב של כלים. באלה נעשה שימוש במגוון התקפות APT, כולל פעולות גיאופוליטיות, כגון גל התקפות על מספר מגזרים חיוניים באוקראינה בסוף 2015.
על אף העובדה שהיא נחשפה מספר פעמים, BlackEnergy ממשיכה את פעילותה ומהווה איום משמעותי.
מאז אמצע 2015, קבוצת BlackEnergy פעלה באמצעות הודעות פישינג ממוקד אשר נשאו קבצי אקסל זדוניים עם קוד מקרו לפגיעה במחשבים ברשת המותקפת. עם זאת, בינואר השנה, חוקרי מעבדת קספרסקי חשפו מסמך זדוני שפוגע במערכות עם הטרויאני BlackEnergy, אשר בשונה ממסמכי אקסל ששימשו בהתקפות קודמות, הפעם מדובר במסך של תוכנת וורד.
עם פתיחת המסמך, מוצגת למשתמש תיבת הודעה הממליצה להפעיל את פעולת ה"מקרו" כדי לאפשר צפיה בתוכן. מתן אפשרות להפעלת מקרו מאפשרת הדבקה מצד הקוד הזדוני.

ברגע שהופעל במחשב הקורבן, הקוד הזדוני שולח מידע בסיסי אודות המחשב הנגוע אל שרתי הפיקוד והשליטה (C&C). אחד מהשדות אשר נשלחים על ידי הקוד הזדוני אל ה- C&C, מכיל מחרוזת שכנראה מתייחסת למספר זיהוי המחשב הנגוע. המסמך שנותח על ידי חוקרי מעבדת קספרסקי מכיל את המזהה "301018stb", כאשר ייתכן כי המחרוזת stb מתייחסת לתחנת הטלוויזיה האוקראינית STB. תחנה זו כבר הייתה בעבר קורבן של מתקפת BlackEnergy Wiper באוקטובר 2015.

לאחר ההדבקה, הקוד הזדוני מסוגל להוריד תוספים זדוניים נוספים. היכולות של המטען הנוסף הזה משתנות על פי גרסת הסוס הטרויאני שבשימוש, החל מריגול סייבר ועד למחיקת נתונים.

"בעבר, ראינו את קבוצת BlackEnergy תוקפת ישויות באוקראינה באמצעות מסמכי אקסל ופאוורפוינט. השימוש במסמכי וורד היה צפוי , והממצא מאשש את החשד שלנו. באופן כללי, אנו רואים שימוש במסמכי וורד עם מקרו הופכים לנפוצים יותר בהתקפות APT. לדוגמא, לאחרונה זיהינו את קבוצת Turla משתמשת במסמכים עם מקרו כדי להפעיל סוג דומה של התקפות. הדבר גורם לנו להאמין כי רבות מההתקפות האלה הן מוצלחות וזו הסיבה שהפופולאריות שלהן גוברת", אמר קוסטין ראיו, מנהל צוות מחקר וניתוח בינלאומי של מעבדת קספרסקי.

קבוצת BlackEnergy לכדה את תשומת לב מעבדת קספרסקי בשנת 2014 כאשר החלה להפעיל תוספים הקשורים ל- SCADA נגד קורבנות במגזר האנרגיה ומערכות תעשייתיות (ICS) ברחבי העולם. הדבר מוביל למסקנה כי קבוצה זו פעילה במיוחד בתחומים הבאים:
– ICS, אנרגיה, ממשל ומדיה באוקראינה
– חברות ICS/SCADA ברחבי העולם
– חברות אנרגיה ברחבי העולם

מעבדת קספרסקי כבר דיווחה על התקפות DDoS הקשורות ב- BlackEnergy, וכן לגבי המטענים ההרסניים שלה, ניצול פרצות בסימנס, התקן להתקפות על נתבים. כדי ללמוד יותר אודות אלה ותוכנות זדוניות נוספות, בקרו ב- Securelist.com.

מוצרי מעבדת קספרסקי מזהים טרויאנים שונים הנמצאים בשימוש על ידי BlackEnergy, כגון: Backdoor.Win32.Fonten.* ו- HEUR:Trojan-Downloader.Script.Generic.

דילוג לתוכן