A ESET descobriu os detalhes de um sucessor do grupo BlackEnergy APT, chamado GreyEnergy, que se concentra em espionagem e reconhecimento, e possivelmente se prepara para futuros ataques cibernéticos.
O BlackEnergy vem ameaçando a Ucrânia há anos, e sua maior investida foi em dezembro de 2015, quando causou o primeiro apagão por ataque cibernético, que deixou 230 mil pessoas sem eletricidade. Desde o incidente, pesquisadores da ESET têm acompanhado atividades maliciosas desse gênero, o que levou a detecção de uma evolução da ameaça, chamada GreyEnergy.
“Nos últimos três anos, o GreyEnergy esteve envolvido em ataques na Ucrânia e na Polônia contra empresas de energia e outros alvos”, diz Anton Cherepanov, principal pesquisador de segurança da ESET e líder da investigação. O ataque de 2015 à infraestrutura de energia da Ucrânia foi a operação mais recente conhecida, na qual o kit de ferramentas BlackEnergy foi usado. Posteriormente, os pesquisadores da ESET documentaram um novo subgrupo de APT, o TeleBots.
As ameaças cibernéticas relacionadas ao TeleBots são mais notáveis pelo surto mundial do NotPetya, malware de limpeza de disco que interrompeu as operações de negócios globais em 2017 e causou danos no valor de bilhões de dólares, e também pelo caso confirmado recentemente pelos pesquisadores da ESET, do Industroyer, malware moderno e mais poderoso voltado para os sistemas de controle industrial, culpado pela segunda queda de energia na capital da Ucrânia, Kiev, em 2016.
“O GreyEnergy surgiu junto com o TeleBots, mas ao contrário de seu primo mais conhecido, as atividades do GreyEnergy não se limitam à Ucrânia e, até agora, não foram prejudiciais. Claramente, eles querem voar sob o radar “, diz Anton Cherepanov.
De acordo com a análise da ESET, o malware GreyEnergy está intimamente relacionado aos malwares BlackEnergy e TeleBots. Sua construção é modular, portanto, seu funcionamento depende da combinação particular de módulos que ele carrega nos sistemas da vítima. Os módulos descritos na análise da ESET foram usados para fins de espionagem e reconhecimento, e incluem: acesso remoto a sistemas, extração de arquivos, captura de tela, registro de senhas e roubo de credenciais, etc.
“Não observamos nenhum módulo que aborde especificamente o software ou os dispositivos dos Sistemas de Controle Industrial (ICS). No entanto, verificamos que os operadores da GreyEnergy têm visado estrategicamente as estações de trabalho de controle ICS que executam softwares e servidores SCADA”, explica Anton Cherepanov.
A análise da ESET sobre o GreyEnergy é importante para uma proteção bem-sucedida contra ameaças específicas. Por esse motivo, a empresa disponibiliza indicadores de comprometimento (IoC) a todos seus os usuários, para que suas infraestruturas continuem protegidas. Essa é a melhor maneira de entender as táticas, ferramentas e procedimentos dos grupos de cibercriminosos mais avançados.
