BlackEnergy-haittaohjelmien laajennukset ovat yleisiä

[ware_item id=33][/ware_item]

BlackEnergy-haittaohjelmien laajennukset ovat yleisiä


Kaspersky Labin globaali tutkimus & Analyysitiimi julkaisi viime viikolla mielenkiintoisen raportin, jossa yksityiskohtaisesti selvitettiin rikollisohjelman kääntämä tietovakoilutyökalu BlackEnergy.

Ensimmäisen kerran useita vuosia sitten tunnistettu BlackEnergyn alkuperäinen tarkoitus oli DDoS-hyökkäysten käynnistäminen räätälöityjen laajennusten kautta. Ajan myötä BlackEnergy2 ja BlackEnergy3 kehittyivät ja ne lopulta huomasivat ladata ylimääräisiä mukautettuja laajennuksia, joita käytettiin roskapostin suorittamiseen ja verkkopankkitietojen keräämiseen, Kaspersky-tutkijoiden Kurt Baumgartner ja Maria Garnaeva mukaan. Viime aikoina haittaohjelmat on ottanut käyttöön Sandworm Team, ryhmä, joka liittyy kibevakoiluun, mukaan lukien teollisten SCADA-järjestelmien kohdentaminen..

Kaspersky-raportissa esitettiin yksityiskohtaiset kaksi nimeämätöntä BlackEnergy-uhria, joita hyökkäsivät kesällä 2014:

Ensimmäinen oli kalastettu sähköpostilla, joka sisälsi WinRAR-hyväksikäytön. Piilotettu suoritettava tiedosto pudotti sitten useita BlackEnergy-laajennuksia.

Toiseen uhriin hakkeroitiin edellisen uhrin varastetut VPN-tunnistetiedot, mikä johti joidenkin yritystietojen tuhoamiseen, ja kuka tahansa hyökkäsi uhrille numero 2, ei ollut Kasperskyn kanssa parhaiten tyytyväinen, koska he jättivät seuraavan viestin tcl-kirjoitukseen - “Fuck U, kaspeRsky !! Älä koskaan saa tuoretta mustaa En3rgyä. ”

Hakkerit pitivät kiinni siitä, kuinka helppoa yrityksen Cisco-reitittimet, jotka kaikki käyttivät erilaisia ​​IOS-versioita, kommentoivat kirjoittajaa sanomalla “Kiitos C1sco Ltd: lle sisäänrakennetuista taustalaitteista & 0-päivää.”

Äskettäisestä iSIGHT Partners -blogipalvelusta on kerrottu Windowsin nollapäivän haavoittuvuudesta (CVE-2014-4114), joka koski kaikkia Microsoft Windows- ja Server 2008 ja 2012 -versioita. Yrityksen mukaan tämä haavoittuvuus helpotti BlackEnergy-pohjaista verkkovakoilukampanjaa, joka kohdistui Nato, Ukrainan hallitusjärjestöt, Länsi-Euroopan hallitukset, energia-ala Puolassa, eurooppalaiset teleyritykset ja yliopistolaitokset Yhdysvalloissa. iSIGHT katsoi kampanjan Venäjälle.

Ja Yhdysvaltain sisäisen turvallisuuden ministeriön mukaan BlackEnergy on piiloutunut tärkeimpiin Yhdysvaltain tietokoneisiin vuodesta 2011, ja sen on tarkoitus tuhota kriittisessä infrastruktuurissa. ABC News sanoo, että Yhdysvaltain kansallisen turvallisuuden lähteet ovat väittäneet hallussaan todisteita, jotka osoittavat myös vahvan syyllisyyden sormen Venäjän suuntaan, mikä viittaa siihen, että Sandworm-joukkue voi tosiasiassa olla valtion tukema..

Venäläisenä yrityksenä on ehkä yllättävää tietää, että Kasperskyn tutkijat eivät enää tunnistaneet äitiä Venäjää eri BlackEnergy-hyökkäysten tekijäksi, vaikka olisimmekin rehellisiä, he huomasivat, että yksi "DDoS-komennoista, jotka oli tarkoitettu näille reitittimille" oli 188.128.123.52, joka heidän mukaansa kuuluu "Venäjän puolustusministeriölle." Toinen Baumgartnerin ja Garnaevan tunnistama IP-osoite - 212.175.109.10 - kuuluu Turkin sisäministeriön hallitussivustolle. Heidän mukaansa nämä kaksi löytöä tekevät epäselväksi, ketkä ovat hyökkäysten takana.

Baumgartnerin ja Garnaevan tutkimus paljastaa myös, kuinka BlackEnergy-laajennuksien lisääntyminen on antanut työkalulle laajan valikoiman ominaisuuksia. Näitä ovat DDoS-työkalu, joka on suunniteltu erityisesti ARM / MIPS-järjestelmille, kyky pyyhkiä asemat tai tehdä niistä käynnistämättömiä ja erilaisia ​​portin skannauksen ja sertifikaattien varastavia laajennuksia sekä varmuuskopiointikanava Google Plus -tilien muodossa, jotka voitaisiin käyttää hävitetyn komennon ja ohjaustietojen lataamiseen salatusta PNG-kuvatiedostosta. Tutkijoiden mukaan tässä tapauksessa käytetty "grc" -laajennus oli suunniteltu sisältämään uusi komento- ja ohjausosoite, mutta he eivät havainneet yhtä käytetyn.

Toinen Kaspersky-raportissa mainittu omituisuus oli se, että jotkut laajennukset suunniteltiin keräämään tartunnan saaneista järjestelmistä laitteistotietoja, mukaan lukien emolevyn tiedot, suorittimen tiedot ja käytetty BIOS-versio. Muut laajennukset keräsivät tietoja liitetyistä USB-laitteista, mikä johti tutkijoiden johtopäätökseen, että komento- ja ohjauskeskukseen takaisin palautettujen tietojen perusteella voidaan käyttää muita, vielä tunnistamattomia laajennuksia lisävaurioiden tartuttamiseksi..

BlackEnergy-haittaohjelmien laajennukset ovat yleisiä
admin Author
Sorry! The Author has not filled his profile.