BlackEnergy-tilläggsprogram för skadlig programvara körs fort

[ware_item id=33][/ware_item]

BlackEnergy-tilläggsprogram för skadlig programvara körs fort


Kaspersky Labs globala forskning & Analysteamet publicerade förra veckan en intressant rapport där det kriminella verktyget förvandlades cyber-spionageverktyget BlackEnergy.

Först identifierad för flera år sedan var BlackEnergys ursprungliga syfte lanseringen av DDoS-attacker via sina anpassade plugins. Med tiden utvecklades BlackEnergy2 och BlackEnergy3 och såg så småningom nedladdning av extra anpassade plug-ins som användes för skräppostkörningar och skörd av onlinebankinformation, enligt Kaspersky-forskarna Kurt Baumgartner och Maria Garnaeva. På senare tid har skadlig kod antagits av Sandworm Team, en grupp kopplad till cyberspionage inklusive inriktning på industriella SCADA-system.

Kaspersky-rapporten redogjorde för två namngivna BlackEnergy-offer som attackerades under sommaren 2014:

Den första fiskades med ett e-postmeddelande med en WinRAR-exploit. Den dolda körbara filen tappade sedan olika BlackEnergy-plugins.

Det andra offeret hackades med det tidigare offerets stulna VPN-referenser, vilket ledde till förstörelse av vissa affärsdata och vem som attackerade offer nummer två var inte bäst nöjd med Kaspersky antingen när de lämnade följande meddelande i ett tcl-skript - “Fuck U, kaspeRsky !! Du får aldrig en färsk svart En3rgy. ”

Lättheten med att företagets Cisco-routrar, som alla körde olika IOS-versioner, komprometterades välkomnades av hackarna men med manusförfattaren som säger ”Thanks C1sco ltd för inbyggda backd00rs & 0-dagar.”

En nyligen publicerad blogginlägg från iSIGHT Partners beskriver en Windows-nolldagars sårbarhet (CVE-2014-4114) som påverkade alla versioner av Microsoft Windows och Server 2008 och 2012. Den sårbarheten, sade företaget, underlättade en BlackEnergy-driven cyber-spionage-kampanj som riktade sig Nato, ukrainska regeringsorganisationer, västeuropeiska regeringar, energisektorn i Polen, europeiska telekomföretag och akademiska institutioner i USA. iSIGHT tillskrev den kampanjen till Ryssland.

Och enligt US Department of Homeland Security har BlackEnergy gömt sig i viktiga amerikanska datorer sedan 2011 och kommer att förgöra förödelse med kritisk infrastruktur. ABC News säger att amerikanska nationella säkerhetskällor har hävdat att de är i besittning av bevis som också pekar en robust finger av skylden i riktning mot Ryssland, vilket tyder på att Sandworm Team i själva verket kan vara statligt sponsrat.

Som ett ryskt företag är det kanske inte förvånande att lära sig att Kasperskys forskare slutade att identifiera moder Ryssland som förövaren bakom de olika BlackEnergy-attackerna, men för att vara rättvis upptäckte de att en av ”DDoS-kommandona betydde för dessa routrar” var 188.128.123.52, som de säger ”tillhör det ryska försvarsministeriet.” En annan IP-adress identifierad av Baumgartner och Garnaeva - 212.175.109.10 - tillhör det turkiska inrikesministeriets regeringssida. Dessa två upptäckter, säger de, gör det oklart vem som står bakom attackerna.

Baumgartner och Garnaevas forskning avslöjar också hur spridningen av plug-ins för BlackEnergy har gett verktyget ett brett utbud av funktioner. Dessa inkluderar ett DDoS-verktyg som är speciellt framtaget för ARM / MIPS-system, förmågan att torka av enheter eller göra dem obearbetbara och en mängd olika port-skannings- och certifikatsstjälplugins, samt en backup-kommunikationskanal i form av Google Plus-konton som kan användas för att ladda ner obuskerat kommando- och kontrolldata från en krypterad PNG-bildfil. Forskarna sa att "grc" -pluginet som används i det här fallet var utformat för att innehålla en ny kommando- och kontrolladress men de observerade inte en som användes.

En annan kurio som nämns i Kaspersky-rapporten var det faktum att vissa plug-ins utformades för att samla hårdvaruinformation om infekterade system inklusive moderkortdata, processorinformation och den använda BIOS-versionen. Andra plug-ins samlade information om anslutna USB-enheter, vilket ledde forskarna att dra slutsatsen att andra ännu oidentifierade plug-ins kan användas för att infektera ytterligare skador, baserat på den information som kommunicerats tillbaka till kommandot och kontrollcentret.

BlackEnergy-tilläggsprogram för skadlig programvara körs fort
admin Author
Sorry! The Author has not filled his profile.