Eksperci z Kaspersky Lab wykryli nieznane wcześniej ataki rosyjskojęzycznej grupy cyberprzestępczej BlackEnergy. Znaleziony przez badaczy sfałszowany dokument programu Word wabi potencjalne ofiary wzmiankami o nacjonalistycznej ukraińskiej partii „Prawy Sektor” i został najprawdopodobniej wykorzystany w ataku na popularną ukraińską stację telewizyjną. BlackEnergy to dynamiczny aktor na scenie cyberzagrożeń, a najnowsze ataki na Ukrainie wskazują, że oprócz włamywania się do
przemysłowych systemów kontroli i aktywności szpiegowskiej do jego głównych celów należą także działania destrukcyjne.
Na początku swojej aktywności gang BlackEnergy korzystał z gotowych narzędzi służących do przeprowadzania ataków DDoS, a następnie rozbudował swój arsenał do szerokiego wachlarza szkodliwych programów. Były one wykorzystywane w różnych działaniach cyberprzestępczych, łącznie z operacjami geopolitycznymi, takimi jak ataki na sektory krytyczne na Ukrainie pod koniec 2015 r.
Mimo że działania organizacji BlackEnergy były niejednokrotnie wykrywane przez badaczy ds. bezpieczeństwa IT, grupa ta jest w dalszym ciągu aktywna i stanowi poważne zagrożenie. Od połowy 2015 r. cyberprzestępcy ci aktywnie wykorzystują phishingowe wiadomości e-mail zawierające sfałszowane skoroszyty Excela z makrami, które infekują komputery w atakowanych sieciach. W styczniu bieżącego roku eksperci z Kaspersky Lab wykryli jednak nowy rodzaj szkodliwego pliku — dokument Worda — infekującego ofiary trojanem grupy BlackEnergy.
Po otwarciu szkodliwego dokumentu użytkownik widzi komunikat, że do przeczytania treści niezbędne jest włączenie obsługi makr w programie Word. Wykonanie tej operacji prowadzi do zainfekowania systemu trojanem BlackEnergy.
Po aktywacji w systemie ofiary trojan wysyła podstawowe informacje o zainfekowanej maszynie do swojego centrum kontroli, a jedno z pól tego komunikatu zawiera unikatowy identyfikator zaatakowanego komputera. Dokument przeanalizowany przez Kaspersky Lab zawierał identyfikator 301018stb, gdzie „stb” może odnosić się do ukraińskiej stacji telewizyjnej STB, która została już zidentyfikowana jako ofiara ataku BlackEnergy Wiper w październiku 2015 r.
Podczas dalszego działania trojan pobiera dodatkowe moduły, które w zależności od rodzaju ataku mogą pełnić rozmaite funkcje — od cyberszpiegostwa po niszczenie danych.
– W przeszłości obserwowaliśmy ataki grupy BlackEnergy na ukraińskie organizacje z wykorzystaniem dokumentów Excela i PowerPointa. Podejrzewaliśmy, że atakujący stosują także pliki Worda i nasze najnowsze badanie to potwierdziło. Co ciekawe, ostatnio obserwujemy coraz więcej zaawansowanych ataków ukierunkowanych wykorzystujących dokumenty z makrami — stosuje je na przykład cybergang Turla. Wszystko wskazuje na to, że ataki tego typu są ciągle skuteczne, a ich popularność wśród cyberprzestępców będzie rosła — powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.
Cybergang BlackEnergy zwrócił uwagę badaczy z Kaspersky Lab już w 2014 r., gdy rozpoczął stosowanie szkodliwych wtyczek związanych z przemysłowymi sterownikami SCADA. Ataki te były skierowane na firmy z branży przemysłowych systemów kontroli oraz organizacje z sektora energetycznego na całym świecie. Na podstawie przeprowadzonych dotychczas badań eksperci z Kaspersky Lab uważają, że grupa BlackEnergy jest najbardziej aktywna w następujących sektorach rynku:
- firmy z branży przemysłowych systemów kontroli, organizacje z sektora energetycznego, rząd oraz media na Ukrainie,
- firmy z branży przemysłowych systemów kontroli/SCADA na całym świecie,
- firmy z branży energetycznej na całym świecie.
W przeszłości badacze z Kaspersky Lab publikowali informacje na temat cybergangu BlackEnergy, koncentrując się na jego destrukcyjnych funkcjach szkodliwych, włamywaniu się do sprzętu firmy Siemens oraz wykorzystywaniu wtyczek do ataków na routery. Kaspersky Lab opublikował także artykuł na temat ataków DDoS przeprowadzanych przez grupę BlackEnergy.
Produkty Kaspersky Lab wykrywają trojany wykorzystywane przez grupę BlackEnergy jako Backdoor.Win32.Fonten.* oraz HEUR:Trojan-Downloader.Script.Generic.