Les plug-ins de logiciels malveillants BlackEnergy se multiplient

[ware_item id=33][/ware_item]

Les plug-ins de logiciels malveillants BlackEnergy se multiplient


Recherche mondiale de Kaspersky Lab & L'équipe d'analyse a publié la semaine dernière un rapport intéressant détaillant le crimeware devenu l'outil de cyberespionnage BlackEnergy.

Identifié pour la première fois il y a plusieurs années, l'objectif initial de BlackEnergy était le lancement d'attaques DDoS via ses plugins personnalisés. Au fil du temps, BlackEnergy2 et BlackEnergy3 ont évolué et ont finalement été repérés en train de télécharger des plug-ins personnalisés supplémentaires qui ont été utilisés pour les exécutions de spam et la collecte d'informations bancaires en ligne, selon les chercheurs de Kaspersky Kurt Baumgartner et Maria Garnaeva. Dernièrement, le malware a été adopté par l'équipe Sandworm, un groupe lié au cyberespionnage, y compris le ciblage de systèmes SCADA industriels.

Le rapport Kaspersky a détaillé deux victimes BlackEnergy non nommées qui ont été attaquées au cours de l'été 2014:

Le premier a été lancé avec un e-mail contenant un exploit WinRAR. Le fichier exécutable caché a ensuite supprimé divers plugins BlackEnergy.

La deuxième victime a été piratée en utilisant les informations d'identification VPN volées de la victime précédente, conduisant à la destruction de certaines données commerciales et celui qui a attaqué la victime numéro deux n'était pas plus satisfait de Kaspersky, car ils ont laissé le message suivant dans un script tcl - «Fuck U, kaspeRsky !! Vous n'obtiendrez jamais un nouveau Black En3rgy. "

La facilité avec laquelle les routeurs Cisco de la société, qui exécutaient tous différentes versions d'IOS, ont été compromises, a été saluée par les pirates, mais le scénariste a déclaré: «Merci C1sco ltd pour les backd00rs intégrés & 0 jours. "

Un récent article de blog de iSIGHT Partners détaille une vulnérabilité de jour zéro de Windows (CVE-2014-4114) qui a affecté toutes les versions de Microsoft Windows et Server 2008 et 2012. Cette vulnérabilité, a déclaré la société, a facilité une campagne de cyberespionnage propulsée par BlackEnergy qui ciblait L'OTAN, les organisations gouvernementales ukrainiennes, les gouvernements d'Europe occidentale, le secteur de l'énergie en Pologne, les entreprises de télécommunications européennes et les établissements universitaires aux États-Unis. iSIGHT a attribué cette campagne à la Russie.

Et, selon le département américain de la Sécurité intérieure, BlackEnergy se cache dans les principaux ordinateurs américains depuis 2011 et devrait faire des ravages dans les infrastructures essentielles. ABC News affirme que des sources de sécurité nationale américaines ont prétendu être en possession de preuves qui pointent également un solide doigt de blâme vers la Russie, suggérant que l'équipe Sandworm pourrait en fait être parrainée par l'État.

En tant qu'entreprise russe, il n'est peut-être pas surprenant d'apprendre que les chercheurs de Kaspersky n'ont pas identifié la mère de la Russie comme l'auteur des diverses attaques BlackEnergy, mais pour être honnête, ils ont découvert qu'une des «commandes DDoS destinées à ces routeurs» était 188.128.123.52 qui, selon eux, "appartient au ministère russe de la Défense". Une autre adresse IP identifiée par Baumgartner et Garnaeva - 212.175.109.10 - appartient au site gouvernemental du ministère turc de l'Intérieur. Ces deux découvertes, disent-ils, ne permettent pas de savoir clairement qui est derrière les attaques.

Les recherches de Baumgartner et Garnaeva révèlent également comment la prolifération des plug-ins pour BlackEnergy a donné à l'outil un large éventail de capacités. Ceux-ci incluent un outil DDoS spécialement conçu pour les systèmes ARM / MIPS, la possibilité d'effacer des disques ou de les rendre non amorçables et une variété de plug-ins de numérisation de ports et de vol de certificats, ainsi qu'un canal de communication de secours sous la forme de comptes Google Plus qui pourrait être utilisé pour télécharger des données de commande et de contrôle obscurcies à partir d'un fichier image PNG chiffré. Les chercheurs ont déclaré que le plugin «grc» utilisé dans ce cas était conçu pour contenir une nouvelle adresse de commande et de contrôle, mais ils n’ont pas observé qu’une soit utilisée.

Une autre curiosité mentionnée dans le rapport Kaspersky est le fait que certains plug-ins ont été conçus pour collecter des informations matérielles sur les systèmes infectés, notamment les données de la carte mère, les informations sur le processeur et la version du BIOS utilisée. D'autres plug-ins collectaient des informations sur les périphériques USB connectés, ce qui a conduit les chercheurs à conclure que d'autres plug-ins non encore identifiés peuvent être utilisés pour infecter d'autres dommages, sur la base des informations communiquées au centre de commande et de contrôle..

Les plug-ins de logiciels malveillants BlackEnergy se multiplient
admin Author
Sorry! The Author has not filled his profile.