I plug-in malware BlackEnergy sono dilaganti

[ware_item id=33][/ware_item]

I plug-in malware BlackEnergy sono dilaganti


La ricerca globale di Kaspersky Lab & La scorsa settimana il team di analisi ha pubblicato un rapporto interessante che illustra in dettaglio il crimine diventato strumento di spionaggio informatico BlackEnergy.

Identificato per la prima volta diversi anni fa, lo scopo originale di BlackEnergy era il lancio di attacchi DDoS tramite i suoi plug-in personalizzati. Nel tempo, BlackEnergy2 e BlackEnergy3 si sono evoluti e alla fine sono stati individuati scaricando plug-in personalizzati aggiuntivi che sono stati utilizzati per l'esecuzione di spam e la raccolta di informazioni bancarie online, secondo i ricercatori di Kaspersky Kurt Baumgartner e Maria Garnaeva. Ultimamente, il malware è stato adottato dal team Sandworm, un gruppo legato allo spionaggio informatico che include il targeting di sistemi SCADA industriali.

Il rapporto Kaspersky descriveva in dettaglio due vittime BlackEnergy senza nome che erano state attaccate durante l'estate del 2014:

Il primo è stato spear phishing con una e-mail contenente un exploit WinRAR. Il file eseguibile nascosto ha quindi rilasciato vari plug-in BlackEnergy.

La seconda vittima è stata hackerata utilizzando le credenziali VPN rubate della vittima precedente, portando alla distruzione di alcuni dati aziendali e chiunque abbia attaccato la vittima numero due non è stato molto contento di Kaspersky perché ha lasciato il seguente messaggio in uno script tcl: “Fuck U, kaspeRsky !! Non avrai mai un Black En3rgy nuovo. ”

La facilità con cui sono stati compromessi i router Cisco dell'azienda, che eseguivano tutte diverse versioni di IOS, è stata accolta con favore dagli hacker, anche se lo sceneggiatore ha dichiarato: "Grazie C1sco ltd per i backd00 integrati & 0-giorni “.

Un recente post sul blog di iSIGHT Partners descrive in dettaglio una vulnerabilità zero-day di Windows (CVE-2014-4114) che ha interessato tutte le versioni di Microsoft Windows e Server 2008 e 2012. Tale vulnerabilità, ha affermato la società, ha facilitato una campagna di spionaggio informatico basata su BlackEnergy mirata NATO, organizzazioni governative ucraine, governi dell'Europa occidentale, settore energetico in Polonia, società di telecomunicazioni europee e istituzioni accademiche negli Stati Uniti. iSIGHT ha attribuito quella campagna alla Russia.

E, secondo il Dipartimento della Sicurezza Nazionale degli Stati Uniti, BlackEnergy si nasconde nei principali computer statunitensi dal 2011 ed è destinata a devastare le infrastrutture critiche. ABC News afferma che le fonti di sicurezza nazionali degli Stati Uniti hanno affermato di essere in possesso di prove che indicano anche un robusto dito di colpa nella direzione della Russia, suggerendo che il Team Sandworm potrebbe in effetti essere sponsorizzato dallo stato.

Come azienda russa non è forse sorprendente apprendere che i ricercatori di Kaspersky hanno smesso di identificare la madre Russia come l'autore dietro i vari attacchi di BlackEnergy sebbene, per essere onesti, hanno scoperto che uno dei "comandi DDoS pensati per questi router" era 188.128.123.52 che, dicono, "appartiene al Ministero della Difesa russo". Un altro indirizzo IP identificato da Baumgartner e Garnaeva - 212.175.109.10 - appartiene al sito del governo del Ministero degli Interni turco. Queste due scoperte, dicono, rendono poco chiaro chi c'è dietro gli attacchi.

La ricerca di Baumgartner e Garnaeva rivela anche come la proliferazione di plug-in per BlackEnergy abbia fornito allo strumento una vasta gamma di funzionalità. Questi includono uno strumento DDoS creato appositamente per i sistemi ARM / MIPS, la possibilità di cancellare le unità o renderle non avviabili e una varietà di plug-in di scansione delle porte e di furto di certificati, nonché un canale di comunicazione di backup sotto forma di account Google Plus che potrebbe essere utilizzato per scaricare dati di comando e controllo offuscati da un file di immagine PNG crittografato. I ricercatori hanno affermato che il plug-in "grc" utilizzato in questa istanza è stato progettato per contenere un nuovo indirizzo di comando e controllo ma non ne hanno osservato uno in uso.

Un'altra curiosità menzionata nel rapporto Kaspersky è stata il fatto che alcuni plug-in sono stati progettati per raccogliere informazioni sull'hardware su sistemi infetti, inclusi i dati della scheda madre, le informazioni sul processore e la versione del BIOS utilizzata. Altri plug-in stavano raccogliendo informazioni sui dispositivi USB collegati, portando i ricercatori a concludere che altri plug-in non ancora identificati potrebbero essere impiegati per infettare ulteriori danni, in base alle informazioni comunicate al centro di comando e controllo.

I plug-in malware BlackEnergy sono dilaganti
admin Author
Sorry! The Author has not filled his profile.