Hackerská skupina označovaná jako BlackEnergy, která koncem roku 2015 provedla útok na energetický sektor na Ukrajině, a způsobila blackout, má svého následovníka. Slovenská společnost ESET objevila skupinu pojmenovanou GreyEnergy. Ta je aktivní zejména v Polsku a na Ukrajině a opět se soustředí na energetické, dopravní a další strategické cíle.
Na rozdíl od BlackEnergy se GreyEnergy zřejmě nesnaží přímo odstavit dané instituce z provozu. V systémech působí potichu a snaží se sbírat informace a provádět špionáž. „Nevíme, co tato skupina plánuje a jaké jsou přesně její záměry,“ uvedl na briefingu v Bratislavě Robert Lipovský z ESETu, který je součástí týmu pracující na mapování GreyEnergy.
Sada nástrojů GreyEnergy zahrnuje backdoor pro vzdálený přístup, možnost pořizovat screenshoty, keylogger, krádeže přístupových údajů včetně hesel, extrakce souborů a podobně. Útočníci se zaměřují na počítače průmyslových kontrolních systémů využívajících SCADA software pro vzdálenou kontrolu a správu průmyslových procesů.
Ukradené certifikáty
Skupina využívá dvou způsobů, jak se do počítačů dostat. Tradičně zkouší spear phishing, kdy různým osobám v daných organizacích posílá e-maily s přílohami, které obsahují makra. Druhým způsobem je pak útok na webové servery. Když jsou napojeny na interní síť organizací, je možné se přes tyto webservery dostat dále.
Útočníci nasazují C&C proxy uvnitř penetrovaných sítí. Tudy se pak přesměrovávají požadavky od infikovaných nodů na externí C&C server. „Všechny vzdálené C&C servery, které GreyEnergy využívala, fungovaly jako aktivní Tor nody (relays),“ rozebírá ESET.
GreyEnergy také v některých případech využívá certifikáty od tchajwanské společnosti Advantech, která se soustředí na výrobu průmyslových a IoT zařízení. „S největší pravděpodobností byly tyto certifikáty zcizeny,“ míní Lipovský.
Aktivity GreyEnergy byly poprvé zaznamenány koncem roku 2015 a prozatím poslední akce se objevila v polovině tohoto roku. Začátky GreyEnergy se kryjí s dobou, kdy byly naposledy zaznamenány akce BlackEnergy.
ESET také začal dokumentovat aktivity skupiny označované jako TeleBots. Ta využívala ransomware útok NotPetya, který velkým světovým společnostem způsobil škody v celkové hodnotě 10 miliard dolarů. Framework GreyEnergy se podobá jak BlackEnergy, tak TeleBots. Všichni využívají modulární architekturu. ESET technické detaily GreyEnergy popisuje v podrobném whitepaperu. Další informace (IoC) jsou k dispozici na GitHubu.