ESET: Συνδέει Διακοπή Ηλεκτρικής Ενέργειας με κυβερνο-κατασκοπεία

Οι κυβερνοεπιθέσεις ενάντια σε εταιρίες ηλεκτρικής ενέργειας στην Ουκρανία το Δεκέμβριο 2015 συνδέονται με επιθέσεις σε μέσα ενημέρωσης και στοχευμένη κυβερνο-κατασκοπεία ενάντια σε Ουκρανικές κυβερνητικές υπηρεσίες. Αναλύοντας το κακόβουλο λογισμικό των επιθέσεων αυτών, KillDisk, οι ερευνητές της ESET διαπίστωσαν ότι η νέα παραλλαγή του συγκεκριμένου malware, περιλαμβάνει κάποια πρόσθετη λειτουργία με στόχο να σαμποτάρει βιομηχανικά συστήματα.ESET ESET ESET

Στις 23 Δεκεμβρίου 2015, τα μισά σπίτια της περιοχής Ivano-Frankivsk στην Ουκρανία, έμειναν χωρίς ηλεκτρικό ρεύμα για αρκετές ώρες, επηρεάζοντας περίπου 700 χιλιάδες ανθρώπους. Οι ερευνητές της ESET ανακάλυψαν ότι η διακοπή ρεύματος – την οποία μετέδωσε πρώτο από όλα τα ουκρανικά μέσα μαζικής ενημέρωσης το TSN – δεν ήταν ένα μεμονωμένο περιστατικό, καθώς και άλλοι πάροχοι ηλεκτρικής ενέργειας στην Ουκρανία είχαν αποτελέσει ταυτόχρονα στόχο κυβερνο-εγκληματιών.

Σύμφωνα με τους ερευνητές της ESET, οι επιτιθέμενοι χρησιμοποίησαν το backdoor του BlackEnergy για να εμφυτέψουν ένα στοιχείο του KillDisk στους υπολογιστές που στόχευαν, για να καταστήσουν αδύνατη τη λειτουργία της επανεκκίνησης.

Το backdoor trojan BlackEnergy έχει σπονδυλωτή δομή και περιλαμβάνει διάφορα στοιχεία, τα οποία γίνονται download για να εκτελέσουν συγκεκριμένα καθήκοντα. Το 2014, χρησιμοποιήθηκε σε μια σειρά από επιθέσεις κατασκοπείας στον κυβερνοχώρο εναντίον στόχων υψηλού προφίλ στην Ουκρανία, που είχαν σχέση με την . Στις πρόσφατες επιθέσεις κατά των εταιρειών ηλεκτρικής ενέργειας, έγινε λήψη και εκτέλεση ενός καταστρεπτικού trojan KillDisk, σε συστήματα που είχαν ήδη μολυνθεί με το trojan BlackEnergy.

Η πρώτη γνωστή σχέση μεταξύ BlackEnergy και KillDisk αναφέρθηκε από το ουκρανικό πρακτορείο ς στον κυβερνοχώρο, CERT-UA, το Νοέμβριο του 2015. Στη συγκεκριμένη περίπτωση, ένας αριθμός εταιριών του χώρου των μέσων μαζικής ενημέρωσης είχε δεχθεί επίθεση κατά τη διάρκεια των τοπικών ουκρανικών εκλογών του 2015. Η αναφορά υποστηρίζει ότι, εξαιτίας της επίθεσης, ένας μεγάλος αριθμός βίντεο και διάφορων εγγράφων έχουν καταστραφεί.

Η παραλλαγή KillDisk, που χρησιμοποιήθηκε στις πρόσφατες επιθέσεις εναντίον ουκρανικών εταιριών παροχής ηλεκτρικής ενέργειας, περιείχε επίσης κάποια πρόσθετη λειτουργία. Εκτός του ότι μπορεί να διαγράψει αρχεία του συστήματος για να καταστεί αδύνατη η επανεκκίνηση του συστήματος – μία τυπική λειτουργία τέτοιων καταστροφικών trojans – η συγκεκριμένη παραλλαγή περιείχε ένα κώδικα που προορίζονται ειδικά για να σαμποτάρει βιομηχανικά συστήματα.

«Εκτός από τη συνηθισμένη λειτουργία του, το KillDisk θα προσπαθήσει επίσης να τερματίσει διαδικασίες που παραδοσιακά ανήκουν σε μια πλατφόρμα που χρησιμοποιείται συνήθως σε βιομηχανικά συστήματα ελέγχου», εξηγεί ο Anton Cherepanov, ερευνητής Malware στην ESET.

Αν οι διαδικασίες αυτές εντοπιστούν στο σύστημα, το trojan όχι μόνο δεν θα τις τερματίσει, αλλά επιπλέον θα αντικαταστήσει το αντίστοιχο εκτελέσιμο αρχείο τους στο σκληρό δίσκο με τυχαία , προκειμένου να καταστήσει την αποκατάσταση του συστήματος ακόμη πιο δύσκολη.

«Σύμφωνα με την ανάλυση που έχουμε διεξάγει στο καταστροφικό malware KillDisk που έχει εντοπιστεί σε αρκετές εταιρείες ηλεκτρικής ενέργειας στην Ουκρανία, το ίδιο σύνολο εργαλείων που χρησιμοποιήθηκε με επιτυχία στις επιθέσεις εναντίον των ουκρανικών μέσων μαζικής ενημέρωσης το Νοέμβριο του 2015, είναι θεωρητικά ικανό να σταματήσει τη λειτουργία κρίσιμων συστημάτων» καταλήγει ο Cherepanov.

Για περισσότερες πληροφορίες σχετικά με την επίθεση σε Ουκρανικούς παρόχους ηλεκτρικής ενέργειας και για το κακόβουλο λογισμικό BlackEnergy/KillDisk, παρακαλούμε επισκεφθείτε το blog WeLiveSecurity της ESET.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).