GreyEnergy: Gruparea ce are ca țintă sistemele de infrastructură critică ar putea pregăti noi atacuri periculoase


O cercetare recentă efectuată de ESET a dezvăluit detalii despre succesorul grupării APT - BlackEnergy, al cărui set principal de instrumente a fost văzut în acțiune pentru ultima dată în decembrie 2015, când a provocat prima pană de curent ce a avut în spate un atac cibernetic. În aceeași perioadă în care a avut loc acest incident, când aproximativ 230.000 de oameni au rămas fără energie electrică, am detectat un alt framework malware și l-am numit GreyEnergy. De atunci, acest malware a fost folosit în atacarea unor companii energetice și a altor ținte importante din Ucraina și Polonia în decursul ultimilor trei ani.

Este important să rețineți că atunci când descriem "grupurile APT", facem conexiuni bazate pe indicatori tehnici, cum ar fi asemănări între coduri, infrastructura comună C&C, lanțurile de execuție a malware-ului și așa mai departe. De obicei, nu suntem implicați direct în investigația și identificarea persoanelor care scriu malware-ul și/sau care îl utilizează și relațiile interpersonale dintre acestea. În plus, expresia "grup APT" este foarte vag definită și folosită adesea doar pentru a grupa indicatorii malware mai sus menționați. Acesta este, de asemenea, unul dintre motivele pentru care ne abținem de la speculații cu privire la asocierea acestor atacuri statelor naționale sau altor entități.

Am documentat deja în detaliu tranziția acestor vectori de amenințare către TeleBots, în atacurile cibernetice ce au vizat ținte importante din sectorul financiar ucraineanatacurile de tip „supply-chain” împotriva Ucrainei și o analiză a backdoor-ului TeleBots. Grupul este cunoscut pentru izbucnirea globală a malware-ului NotPetya. În același timp, am urmărit îndeaproape și gruparea GreyEnergy - un subgrup care operează în paralel, dar cu motivații și ținte oarecum diferite.

Cu toate că datele telemetrice ale ESET indică că GreyEnergy a avut activitate malware în ultimii trei ani, acest grup APT nu a fost documentat până în prezent. Acest lucru se datorează, probabil, faptului că aceste activități nu au fost de natură distructivă, spre deosebire de numeroasele campanii de ransomware întreprinse de TeleBots (nu doar NotPetya), atacul la nivelul rețelei electrice  al BlackEnergy și pana de curent provocată de Industroyer - pe care le-am asociat acestei grupări pentru prima dată săptămâna trecută. În schimb, vectorii de amenințare din spatele GreyEnergy au încercat să rămână sub radar, concentrându-se pe misiuni de spionaj și recunoaștere, de care s-ar putea folosi în pregătirea unor viitoare atacuri de sabotaj cibernetic sau pentru a pune bazele unei operațiuni conduse de un alt grup APT.

Programele malware ale GreyEnergy prezintă multe asemănări cu cele dezvoltate de BlackEnergy, după cum se arată mai jos. Programele au la bază mai multe module, astfel încât funcționalitatea lor să depindă de o combinație specifică de module, pe care operatorul să o încarce în sistemele victimei. Modulele descrise în analiza ESET au fost utilizate în scopuri de spionaj și de recunoaștere (de exemplu, backdoor, extragerea fișierelor, capturarea de screenshot-uri, keylogging, parola și furtul de credențiale etc.). Nu am identificat module care să vizeze în mod specific sistemele de control industrial (ICS). Cu toate acestea, am observat că operatorii GreyEnergy au vizat strategic stațiile de control ICS care rulează software și servere SCADA, ce tind să fie sisteme informatice critice, menite să treacă offline doar când are loc întreținerea periodică.

Legături care duc la BlackEnergy și TeleBots

Unele dintre motivele pentru care cercetătorii ESET consideră că există o conexiune între BlackEnergy și GreyEnergy sunt:

  • Apariția lui GreyEnergy „in the wild” coincide cu dispariția lui BlackEnergy
  • Cel puțin una dintre victimele vizate de GreyEnergy a fost și ținta grupului BlackEnergy în trecut. Ambele grupări manifestă un interes deosebit pentru sectorul energetic și pentru sistemele de infrastructură critică. Victimele sunt localizate în primul rând în Ucraina, Polonia fiind pe locul al doilea.
  • Există asemănări arhitecturale puternice între framework-urile malware. Ambele sunt structurate pe module și utilizează un backdoor "mini" sau light, ce poate fi implementat înainte ca drepturile de administrator să fie obținute, instalând, astfel, versiunea completă a codului malițios fără probleme.
  • Toate serverele remote de comandă și control (C&C) folosite de malware-ul GreyEnergy erau relee active Tor. Același lucru și în cazul BlackEnergy și Industroyer. Am presupus că aceasta este o tehnică de securitate operațională utilizată de grup, astfel încât operatorii să se poată conecta la aceste servere într-un mod ascuns.

Comparativ cu BlackEnergy, GreyEnergy prezintă un set de instrumente mai modern, cu un accent mai mare pe camuflaj. O tehnică de bază de camuflaj - folosită de ambele grupări - este de a implementa numai anumite module în dispozitivele țintelor vizate și numai atunci când este necesar. În plus, unele module GreyEnergy sunt parțial criptate AES-256, iar altele rămân fileless - funcționând doar în memorie - cu scopul de a evita analiza și detecția. Pentru a-și șterge urmele, operatorii GreyEnergy șterg componentele malware de pe hard discurile victimelor.

Pe lângă asemănările cu BlackEnergy pe care le-am subliniat mai devreme, am observat și o altă legătură între GreyEnergy și subgrupul TeleBots. În decembrie 2016, am surprins GreyEnergy implementând o versiune timpurie a viermelui NotPetya de la TeleBots - cu jumătate de an înainte de a fi modificată, îmbunătățită și integrată în cel mai dăunător atac ransomware din istorie. Codul pare a fi refolosit, existând similarități clare între această componentă ransomware și modulul de bază al GreyEnergy. Noi numim această versiune timpurie "Moonraker Petya", bazată pe numele de fișier ales de dezvoltatorii programului - cel mai probabil o referire la filmul din seria James Bond. Acesta nu avea integrat cunoscutul mecanism de răspândire EternalBlue, deoarece nu fusese utilizat în atacuri la scală amplă la acel moment.

Tacticile, tehnicile și procedurile GreyEnergy

Am observat doi vectori diferiți de infectare: spearphishing-ul "tradițional" și compromiterea serverelor web disponibile publicului larg. Când un astfel de server web vulnerabil a fost găzduit intern și conectat la rețeaua unei organizații vizate, atacatorul va încerca să ajungă la stațiile de lucru. Această tehnică este folosită nu numai ca vector primar de compromitere, ci și ca vector de reinfectare prin utilizarea backup-urilor.

Atacatorii folosesc de obicei proxy-uri C&C interne în cadrul rețelelor victimelor. Astfel de solicitări C&C proxy redirecționează cererile de la nodurile infectate din rețea la un server extern de C&C de pe Internet. Aceasta este o altă tactică de camuflaj, deoarece este mai puțin suspect pentru responsabilii cu securitatea IT să vadă că mai multe computere comunică cu un server intern, mai degrabă decât unul remote.

O observație foarte interesantă - una elocventă și pentru țintele vizate - este că unele dintre mostrele GreyEnergy pe care le-am detectat au fost semnate cu un certificat de la Advantech, un producător taiwanez de hardware industrial și dispozitive IoT. Acestea au fost cel mai probabil furate de la companie, la fel ca în cazul lui Stuxnet și a unei campanii recente de malware, numite Plead.

Operatorii GreyEnergy au în arsenal și instrumente externe obișnuite, cum ar fi Mimikatz, PsExec, WinExe, Nmap și un scaner de porturi personalizat.

Pentru o analiză detaliată a setului de instrumente și a operațiunilor GreyEnergy, puteți consulta lucrarea noastră de cercetare GreyEnergy: A successor to BlackEnergy. O listă completă a Indicatorilor de compromis (IoC) și a eșantioanelor poate fi găsită pe GitHub. Dacă aveți întrebări sau doriți să ne trimiteți materiale/eșantioane legate de subiect, vă rugăm să ne contactați la: threatintel@eset.com.

Pentru mai multe informații despre cum vă puteți proteja, puteți să vizitați site-ul nostru și să aflați mai multe despre GreyEnergy.

Anton Cherepanov October 19, 2018

Lasa un comentariu