Η ESET® ανακάλυψε ένα νέο κύμα επιθέσεων που στοχεύει εταιρίες παροχής ηλεκτρικής ενέργειας στην Ουκρανία. Στα τέλη Δεκεμβρίου του 2015, οι κυβερνοεγκληματίες είχαν κατορθώσει να προκαλέσουν μαζικές διακοπές ρεύματος σε αρκετές περιοχές της Ουκρανίας, αλλά είναι εξαιρετικά ενδιαφέρον ότι το κακόβουλο λογισμικό που χρησιμοποιήθηκε αυτή τη φορά δεν είναι το περίφημο BlackEnergy.
Το σενάριο επίθεσης δεν έχει αλλάξει πολύ από τις προηγούμενες εκστρατείες. Οι κυβερνοεγκληματίες έστειλαν spear-phishing emails στα πιθανά θύματα. Τα emails αυτά περιείχαν ένα συνημμένο αρχείο με κακόβουλο αρχείο XLS, καθώς επίσης και περιεχόμενο HTML με σύνδεση με ένα αρχείο .PNG εγκατεστημένο σε έναν απομακρυσμένο server, έτσι ώστε οι κυβερνοεγκληματίες να ειδοποιηθούν ότι το email είχε παραδοθεί και είχε ανοιχτεί από το στόχο.
«Περιμέναμε να δούμε το κακόβουλο λογισμικό BlackEnergy, αλλά χρησιμοποιήθηκε ένα διαφορετικό malware αυτή τη φορά. Οι κυβερνοεγκληματίες χρησιμοποίησαν τροποποιημένες εκδοχές ενός backdoor ανοιχτού κώδικα» εξηγεί ο Robert Lipovsky, Malware Researcher της ESET.
Αυτό το backdoor μπορεί να κατεβάσει και να εκτελέσει shell-commands. Οποιαδήποτε άλλη ιδιότητα τύπου backdoor του κακόβουλου λογισμικού που χρησιμοποιήθηκε – όπως λήψη screenshots, keylogging, ή ανέβασμα αρχείων – είχε αφαιρεθεί από τον πηγαίο κώδικα. Το backdoor ελέγχεται από τους κυβερνοεγκληματίες με τη χρήση ενός λογαριασμού Gmail, γεγονός που καθιστά δύσκολη την ανίχνευση της κίνησης του στο δίκτυο.
Οι επιθέσεις του malware στον κλάδο ενέργειας της Ουκρανίας έχουν αποκτήσει μεγάλη δημοσιότητα καθώς έχουν προκαλέσει ή επιτρέψει (ο ρόλος του κακόβουλου λογισμικού δεν έχει αποσαφηνιστεί λεπτομερώς) μια μαζική διακοπή ρεύματος, ίσως την πρώτη στον κόσμο ως αποτέλεσμα μιας τέτοιας επίθεσης.
“Αυτή τη στιγμή δεν έχουμε κανένα στοιχείο που να δείχνει ποιος είναι πίσω από αυτές τις επιθέσεις και το να προσπαθήσουμε να τις αποδώσουμε με βάση την τρέχουσα πολιτική κατάσταση θα μπορούσε να μας φέρει στη σωστή απάντηση, θα μπορούσε όμως και όχι. Η τρέχουσα ανακάλυψη δεν μας φέρνει πιο κοντά στην αποκάλυψη της προέλευσης των επιθέσεων στην Ουκρανία. Αντιθέτως, μας υπενθυμίζει να αποφύγουμε βιαστικά συμπεράσματα» καταλήγει ο Robert Lipovsky, Malware Researcher της ESET.