Τα plug-ins κακόβουλου λογισμικού BlackEnergy λειτουργούν ανεξέλεγκτα

[ware_item id=33][/ware_item]

Τα plug-ins κακόβουλου λογισμικού BlackEnergy λειτουργούν ανεξέλεγκτα


Η Global Research της Kaspersky Lab & Η Ομάδα Ανάλυσης δημοσίευσε την περασμένη εβδομάδα μια ενδιαφέρουσα έκθεση που περιγράφει λεπτομερώς το εργαλείο ηλεκτρονικής κατασκοπείας Blackware,.

Πρώτα ταυτοποιημένα πριν από αρκετά χρόνια, ο αρχικός σκοπός της BlackEnergy ήταν η εκτόξευση των επιθέσεων DDoS μέσω των προσαρμοσμένων plugins της. Με την πάροδο του χρόνου, τα BlackEnergy2 και BlackEnergy3 εξελίχθηκαν και τελικά εντοπίστηκαν λήψη πρόσθετων προσαρμοσμένων plug-ins που χρησιμοποιήθηκαν για spam και συλλογή πληροφοριών online τραπεζών, σύμφωνα με τους ερευνητές της Kaspersky Kurt Baumgartner και Maria Garnaeva. Τον τελευταίο καιρό, το κακόβουλο λογισμικό υιοθετήθηκε από την ομάδα Sandworm, μια ομάδα που συνδέεται με την κατασκοπεία στον κυβερνοχώρο, συμπεριλαμβανομένης της στοχοθέτησης βιομηχανικών συστημάτων SCADA.

Η έκθεση Kaspersky ανέλυσε δύο ανώνυμα θύματα της BlackEnergy, τα οποία δέχθηκαν επίθεση κατά τη διάρκεια του καλοκαιριού του 2014:

Το πρώτο ήταν δόλωμα phished με ένα ηλεκτρονικό ταχυδρομείο που περιέχει ένα exploit WinRAR. Το κρυφό εκτελέσιμο αρχείο έριξε στη συνέχεια διάφορα plug-ins BlackEnergy.

Το δεύτερο θύμα διακόπηκε χρησιμοποιώντας τα κλεμμένα VPN διαπιστευτήρια του προηγούμενου θύματος, οδηγώντας στην καταστροφή κάποιων επιχειρηματικών δεδομένων και όποιος επιτέθηκε στο θύμα νούμερο 2 δεν ήταν καλύτερα ευχαριστημένος με το Kaspersky είτε επειδή άφησαν το ακόλουθο μήνυμα σε ένα script tcl - "Fuck U, kaspeRsky !! Μην πάρετε ποτέ ένα φρέσκο ​​Black En3rgy. "

Η ευκολία με την οποία οι δρομολογητές Cisco της εταιρείας, οι οποίοι εκτελούσαν διαφορετικές εκδόσεις IOS, υπονομεύθηκαν από τους χάκερς, αν και με τον συγγραφέα script λέγοντας "Thanks C1sco ltd για ενσωματωμένο backd00rs & 0 ημέρες. "

Μια πρόσφατη δημοσίευση ιστολογίου από τους Συνεργάτες iSIGHT διευκρινίζει μια ευαισθησία μηδέν για Windows (CVE-2014-4114), η οποία επηρέασε όλες τις εκδόσεις των Microsoft Windows και Server 2008 και 2012. Η ευπάθεια αυτή, δήλωσε η εταιρεία, διευκόλυνε μια καμπάνια κατασκοπείας με τεχνολογία BlackEnergy Το ΝΑΤΟ, οι κυβερνητικές οργανώσεις της Ουκρανίας, οι κυβερνήσεις της Δυτικής Ευρώπης, ο ενεργειακός τομέας στην Πολωνία, οι ευρωπαϊκές εταιρείες τηλεπικοινωνιών και τα ακαδημαϊκά ιδρύματα στις ΗΠΑ. Το iSIGHT απέδωσε αυτή την εκστρατεία στη Ρωσία.

Και, σύμφωνα με το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ, η BlackEnergy κρύβεται σε βασικούς υπολογιστές των ΗΠΑ από το 2011 και πρόκειται να προκαλέσει όλεθρο με κρίσιμη υποδομή. Το ABC News αναφέρει ότι οι αμερικανικές πηγές εθνικής ασφάλειας ισχυρίζονται ότι έχουν στην κατοχή τους αποδεικτικά στοιχεία τα οποία επίσης δείχνουν ένα ισχυρό χέρι προς την κατεύθυνση της Ρωσίας, υποδηλώνοντας ότι η ομάδα Sandworm μπορεί στην πραγματικότητα να χρηματοδοτείται από το κράτος.

Ως ρωσική εταιρεία, ίσως δεν εκπλήσσει το γεγονός ότι οι ερευνητές της Kaspersky σταμάτησαν να εντοπίζουν τη μητρική Ρωσία ως τον δράστη πίσω από τις διάφορες επιθέσεις BlackEnergy, αν και, για να είμαστε δίκαιοι, ανακάλυψαν ότι μία από τις "εντολές DDoS που προορίζονταν για αυτούς τους δρομολογητές" 188.128.123.52 που λένε ότι "ανήκει στο ρωσικό υπουργείο Άμυνας". Μία άλλη διεύθυνση ΙΡ που προσδιορίστηκε από τους Baumgartner και Garnaeva - 212.175.109.10 - ανήκει στον κυβερνητικό χώρο του Υπουργείου Εσωτερικών του Τουρκικού. Αυτές οι δύο ανακαλύψεις, λένε, καθιστούν ασαφές ποιος είναι πίσω από τις επιθέσεις.

Οι έρευνες των Baumgartner και Garnaeva αποκαλύπτουν επίσης πως ο πολλαπλασιασμός των plug-ins για το BlackEnergy έδωσε στο εργαλείο ένα ευρύ φάσμα δυνατοτήτων. Αυτά περιλαμβάνουν ένα εργαλείο DDoS ειδικά σχεδιασμένο για συστήματα ARM / MIPS, την ικανότητα να σκουπίζει δίσκους ή να τα καταστήσει unbootable και μια ποικιλία από plugins για σάρωση σε λιμάνια και πιστοποιητικά, καθώς και ένα κανάλι επικοινωνίας backup με τη μορφή λογαριασμών Google Plus θα μπορούσε να χρησιμοποιηθεί για τη λήψη δεδομένων από εντοπισμό και έλεγχο από ένα κρυπτογραφημένο αρχείο εικόνας PNG. Οι ερευνητές δήλωσαν ότι το plugin 'grc' που χρησιμοποιήθηκε σε αυτή την περίπτωση σχεδιάστηκε για να περιέχει μια νέα διεύθυνση εντολής και ελέγχου, αλλά δεν παρατήρησαν ότι χρησιμοποιείται.

Μια άλλη περιέργεια που αναφέρεται στην έκθεση Kaspersky ήταν το γεγονός ότι μερικά plug-ins είχαν σχεδιαστεί για να συγκεντρώσουν πληροφορίες υλικού για μολυσμένα συστήματα, συμπεριλαμβανομένων των δεδομένων των μητρικών καρτών, των πληροφοριών του επεξεργαστή και της έκδοσης BIOS που χρησιμοποιήθηκε. Άλλες προσθήκες συγκέντρωναν πληροφορίες σχετικά με τις συνημμένες συσκευές USB, οδηγώντας τους ερευνητές να καταλήξουν στο συμπέρασμα ότι μπορούν να χρησιμοποιηθούν και άλλες άγνωστες προσθήκες για να μολύνουν περαιτέρω βλάβες, με βάση τις πληροφορίες που ανακοινώνονται ξανά στο κέντρο εντολών και ελέγχου.

Τα plug-ins κακόβουλου λογισμικού BlackEnergy λειτουργούν ανεξέλεγκτα
admin Author
Sorry! The Author has not filled his profile.