Beveiliger ESET heeft de eerste details onthuld van een opvolger van de BlackEnergy APT-groep. Deze aanvallers, door ESET benoemd als GreyEnergy, richten zich op spionage en verkenning, mogelijk in voorbereiding op toekomstige cybersabotageaanvallen.
BlackEnergy terroriseert Oekraïne al jaren en trad in december 2015 op de voorgrond wanneer de groep een stroomstoring veroorzaakte waarbij 230.000 mensen zonder elektriciteit kwamen te zitten. Dit was de eerste stroomstoring als gevolg van een cyberaanval. In dezelfde periode detecteerden ESET-onderzoekers een ander malware framework, GreyEnergy.
“De afgelopen 3 jaar hebben we gezien dat GreyEnergy betrokken was bij aanvallen op energiebedrijven en andere vitale doelen in Oekraïne en Polen”, aldus Anton Cherepanov, ESET Senior Security Researcher die het onderzoek leidde.
De aanval van 2015 op de Oekraïense energie-infrastructuur was de meest recent bekende operatie waarbij gebruik werd gemaakt van de BlackEnergy toolset. Vervolgens documenteerden ESET-onderzoekers een nieuwe APT-subgroep, TeleBots.
TeleBots staan bekend om de wereldwijde uitbraak van NotPetya, de destructieve malware die de wereldwijde bedrijfsvoering in 2017 verstoorde en schade veroorzaakte in de orde van miljarden dollars.
Onderzoekers hebben onlangs bevestigd dat TeleBots ook zijn verbonden met Industroyer, de krachtigste moderne malware voor industriële besturingssystemen en de boosdoener achter de tweede stroomstoring in de Oekraïense hoofdstad Kiev in 2016.
“GreyEnergy is samen met TeleBots opgedoken, maar in tegenstelling tot BlackEnergy, zijn de activiteiten van GreyEnergy niet beperkt tot Oekraïne en tot nu toe niet schadelijk geweest. Het is duidelijk dat ze onder de radar willen vliegen,” zo vervolgt Anton Cherepanov.
Uit de grondige analyse van GreyEnergy blijkt dat de malware nauw verbonden is met zowel BlackEnergy als TeleBots. Het is modulair opgebouwd, dus de functionaliteit is afhankelijk van de specifieke combinatie van modules die de operator uploadt naar de systemen van het slachtoffer.
De modules beschreven in de analyse van ESET werden gebruikt voor spionage- en verkenningsdoeleinden en omvatten: backdoor, informatieverzameling, het maken van screenshots, keylogging, het bemachtigen van wachtwoorden en inloggegevens, enz.
Er zijn geen modules waargenomen die specifiek gericht zijn op software of apparatuur voor industriële besturingssystemen. Maar wel is door ESET vastgesteld dat GreyEnergy-operators zich strategisch richten op ICS-werkstations met SCADA-software en -servers.
De openbaarmaking en analyse van GreyEnergy is belangrijk voor een succesvolle verdediging tegen deze specifieke dreiging en voor een beter begrip van de tactieken, tools en procedures van de meest geavanceerde APT-groepen.
Wil je meer hierover weten, check dan de beschikbare white paper (PDF).
[Afbeelding © peterzayda – Adobe Stock]