GreyEnergy-groep richt zicht op kritieke infrastructuur, mogelijk als voorbereiding op schadelijke aanvallen
ESET heeft details ontdekt over een opvolger voor de BlackEnergy APT-groep. Deze bedreiging, door ESET GreyEnergy genaamd, richt zich op spionage en verkenning, mogelijk als voorbereiding op toekomstige cybersabotage-aanvallen.
BlackEnergy terroriseert al jaren Oekraïne en trad in december 2015 op de voorgrond toen het een stroomuitval veroorzaakte waarbij 230.000 mensen zonder elektriciteit kwamen te staan bij de eerste stroompanne wegens een cyberaanval. Rond de tijd van die doorbraak begonnen de onderzoekers van ESET een ander malwareomgeving te detecteren en noemden het GreyEnergy.
“We hebben gezien dat GreyEnergy de afgelopen drie jaar betrokken was bij aanvallen op energiebedrijven en andere belangrijke doelen in Oekraïne en Polen”, vertelt Anton Cherepanov, ESET Senior Security Researcher, die het onderzoek heeft geleid.
De aanval van 2015 op de Oekraïense energie-infrastructuur was de meest recente waarbij de BlackEnergy-toolset werd gebruikt. Vervolgens documenteerden de onderzoekers van ESET TeleBots, een nieuwe APT-subgroep. TeleBots is het meest opgevallen door de wereldwijde uitbraak van NotPetya, de malware die de schijven uitwist, die in 2017 de wereldwijde bedrijfsactiviteiten verstoorde en schade veroorzaakte die in de miljarden US dollars opliep. Zoals onlangs door ESET-onderzoekers werd bevestigd, zijn TeleBots ook verbonden met Industroyer, de krachtigste moderne malware gericht op industriële besturingssystemen en schuldig voor de tweede stroomuitval in Kiev, de hoofdstad van Oekraïne, in 2016.
“GreyEnergy is samen met TeleBots opgedoken, maar anders dan zijn bekender familielid zijn de activiteiten van GreyEnergy niet beperkt tot Oekraïne en zijn tot nog toe niet tot nu toe niet schadelijk geweest. Het is duidelijk dat ze onder de radar willen vliegen,” verduidelijkt Cherepanov.
Volgens de grondige analyse van ESET is GreyEnergy-malware nauw verwant aan zowel BlackEnergy- als TeleBots-malware. Het is modulair opgebouwd, zodat de functionaliteit afhankelijk is van de specifieke combinatie van modules die de operator uploadt naar de systemen van het slachtoffer.
De modules beschreven in de analyse van ESET werden gebruikt voor spionage- en verkenningsdoeleinden en omvatten: backdoor, file-extractie, screenshots maken, keylogging, stelen van wachtwoorden en inloggegevens, etc. “Tot dusver hebben we geen modules gevonde die specifiek gericht zouden zijn op Industrial Control Systems-software of -apparaten. We hebben echter kunnen vaststellen dat GreyEnergy-operatoren zich strategisch hebben gericht op ICS-besturingswerkstations met SCADA-software en -servers, ” aldus Cherepanov.
ESET’s bekendmaking en analyse van GreyEnergy is belangrijk voor een succesvolle verdediging tegen deze specifieke bedreiging, alsook voor een beter begrip van de tactieken, hulpmiddelen en procedures van de meest geavanceerde APT-groepen.
Meer details zij te vinden op WeLiveSecurity.com blogpost en in het witboek : https://gpc.eset.com/gpc/filebrowser/file/4906
