logo ESET software spol. s r. o.

Kritická infrastruktura v hledáčku hackerů

Nově odhalená hackerská skupina GreyEnergy se soustřeďuje na monitoring a špionáž kritických infrastruktur vybraných států. Připravuje se tak na nadcházející kybernetické útoky a sabotáže a chystá zákeřné kyberútoky.

Společnost ESET odhalila dalšího nástupce hackerské skupiny BlackEnergy, která je zodpovědná za masivní výpadky elektrické energie na Ukrajině.

Skupina BlackEnergy mnoho let terorizovala Ukrajinu a významně se podílela na masivním výpadku elektrické energie, k němuž došlo v prosinci 2015 a postihl na 230 tisíc lidí. Skupina se tehdy nechvalně zapsala do historie jako první, komu se podařilo způsobit takový masivní energetický výpadek kybernetickým útokem.

V době, kdy došlo k tomuto bezpečnostnímu incidentu, začali analytici společnosti ESET detekovat a zkoumat ještě další malware framework, který nazvali GreyEnergy.

Útok na ukrajinskou energetickou infrastrukturu v roce 2015 byl poslední známou operací, při které byla použita sada nástrojů BlackEnergy. Následně odborníci ze společnosti ESET zdokumentovali činnost nové APT skupiny nazvané TeleBots.

Skupina TeleBots je známa díky globálnímu kybernetickému útoku způsobeném škodlivým kódem NotPetya. Ten v roce 2017 způsobil výmazem pevných disků v mnoha společnostech obrovské ekonomické škody. Celkově mělo jít o několik miliard dolarů.

Jak se nedávno podařilo zjistit expertům ze společnosti ESET, skupina TeleBot byla rovněž spojena se škodlivou kampaní malware Industroyer, doposud nejvážnější hrozby pro průmyslové řídící systémy. Industroyer udeřil v roce 2016 v ukrajinské metropoli Kyjevě, kde způsobil výpadky dodávek elektrické energie.

"Během posledních tří let jsme zaznamenali přítomnost GreyEnergy u několika energetických společností a i dalších významných cílů na Ukrajině a v Polsku. Skupina GreyEnergy se objevila ve stejné době jako TeleBots, ale na rozdíl od těchto známějších útočníků se aktivity GreyEnergy neomezují pouze na Ukrajinu a jejich aktivity nezpůsobily zatím hmatatelné škody. Zjevně se ale pokouší najít způsob, jak by mohli skrytě provádět špionáž, aniž bychom je zachytili. Nenarazili jsme na žádné moduly, které by konkrétně mířily na průmyslové kontrolní systémy nebo zařízení. Ale zaznamenali jsme, že operátoři GreyEnergy strategicky cílili na stanice a servery průmyslových kontrolních systémů, které využívají SCADA software pro vzdálenou kontrolu a správu průmyslových procesů," říká Anton Cherepanov, vedoucí týmu zaměřeného na analýzu tohoto malwaru a senior specialista na bezpečnost ve společnosti ESET.

Podle podrobné analýzy společnosti ESET vykazuje malware framework GreyEnergy podobnosti jak s BlackEnergy, tak s TeleBots frameworkem. Má modulární architekturu a jeho funkčnost je tak závislá na kombinaci modulů, které útočník nahraje do systému oběti.

Moduly popsané v analýze společnosti ESET byly použity ke špionážním a výzkumným účelům. Zahrnují použití zadních vrátek (tzv., backdoor, který je primárně určen pro vzdálený přístup administrátorů do systému), extrakce souborů, pořizování screenshotů, zaznamenávání zmáčknutých písmen na klávesnici (tzv. keylogging), krádeže hesel a přístupových údajů, atd.

Objev a následná analýza malware frameworku GreyEnergy jsou velmi důležité nejen kvůli úspěšné obraně, ale zároveň jako jeden ze základních prvků pro pochopení taktiky, procedur a využívaných nástrojů v arzenálu nejpokročilejších APT skupin.

Článek ESET software spol. s r. o. ze dne 24. října 2018 - středa

Další články od ESET software spol. s r. o.

Nová řada bezpečnostních řešení ESET pro domácí uživatele

Kritická infrastruktura v hledáčku hackerů

Lepší správa zabezpečení malých a středních firem v cloudu

Nebezpečná aplikace QRecorder pro Android ohrožuje internetové bankovnictví

Lepší řešení kybernetické ochrany firem

Ochrana dat šifrováním se stále dost podceňuje

ČOI a ESET společně proti podvodným e-shopům

Android TV s ochranou před útoky ransomwaru a malware

Skrytá těžba kryptoměn zneužívá výpočetní výkon počítačů

Škodlivý kód zneužívá falešnou instalaci Adobe Flash Player

Kyberbezpečnost 2018 - aktuální trendy a dopady GDPR

Jak se bránit proti podvodným aplikacím pro obchodování s kryptoměnami

Podvodné aplikace pro obchodování s kryptoměnami zneužívají osobní data uživatelů

Nový malware využívá protokol DDE

SmartPhone IBM Simon - první chtyrý telefon vznikl pře 25 lety

Malware DoubleLocker mění PIN na mobilech s Androidem a šifruje data

Google a ESET společně v boji proti malwaru

Útok pomocí reinstalace klíčů WPA2 šifrování ohrožuje uživatele WiFi sítí

Pozor na falešné soutěže na Facebooku - můžete přijít o peníze

Zálohování a obnova dat Xopero v portfoliu ESET Technologické Aliance

Pozor na neoficiální streamovací služby

Nové firemní řešení pro správu a šifrování dat pro GDPR

Studenti často podceňují rizika při používání veřejné WiFi

Lepší ochrana domácích uživatelů před internetovými hrozbami

Český internet v srpnu zaplavila nová vlna nebezpečných e-mailových příloh

Poskytovatel síťové ochrany GREYCORTEX posiluje ESET Technologickou Alianci

Škodlivý kód Joao cílí na hráče počítačových her

Pozor na nebezpečné neoficiální streamovací služby

Malware Stantinko se vyhýbá detekci antivirových programů

Nebezpečný trojský kůň Chromex se vrátil v nové vlně do Česka

Nová epidemie ransomware útočí na Česko

Uživatelé v Česku ochranu svých mobilních zařízení stále podceňují

Malware Industroyer je hrozbou pro infrastrukturu energetických sítí

Obnova zašifrovaných dat po napadení ransomwarem AES-NI a XData

Ransomware WannaCry se Česku vyhnul, posiluje nevyžádaná reklama AztecMedia

Nástroje pro pomoc uživatelům zasaženým ransomware

Statistika detekcí ransomwaru WannaCry

Komentář ESETu k šíření ransomwaru WannaCry

Stoprocentní úspěšnost bezpečnostních produktů ESET v AV-Testu

Podvodná kampaň na Facebooku a Twitteru cílí na údaje o platebních kartách

Trojský kůň Chromex ohrožuje Česko

Zkušenost s krádeží peněz při internetových platbách mají tři procenta Čechů

Malware Danger v Česku stále posiluje

Ještě dokonalejší vzdálená správa koncových stanic a ochrana virtualizovaného prostředí pro firmy

ESET Crysis Decryptor pro dešifrování dat

Šifrování dat jako možný nástroj pro naplnění požadavků GDPR

Malware Danger v Česku opět posiluje

Z ransomware na Androidu se stává globální hrozba

Ochrana firemních dat proti cíleným útokům

Změny v top managementu ESET

Speciální nabídka videokonferencí Yealink