BlackEnergy – nowa kampania uderza w Ukrainę i Polskę

Kampania BlackEnergy

Kampania BlackEnergy to kolejny dowód na to, że trwający konflikt na Wschodzie Europy po części odbywa się również w cyberprzestrzeni. Tym razem chodzi o złośliwe oprogramowanie, które skutecznie zaatakowało wiele organizacji na Ukrainie i w Polsce.

Chodzi o trojana o nazwie BlackEnergy. Od razu warto wspomnieć, że nie jest to “informatyczna nowość”. Jest on znany co najmniej od 2007 roku, kiedy to został przeanalizowany przez specjalistów z Arbor Networks  jako złośliwe oprogramowanie wykorzystywane do prowadzenia ataków DDoS. Ciekawostką jest też to, że był wykorzystywany w roku 2008 w czasie wojny rosyjsko-gruzińskiej do atakowania gruzińskiej infrastruktury teleinformatycznej, co było pierwszym wyraźnym sygnałem użycia BlackEnergy w konflikcie politycznym i skorzystania z niego przez stronę rosyjską. Zresztą co do rosyjskich korzeni kodu trojana nie ma większych wątpliwości. Specjaliści z F-Secure wskazują wprost na rosyjską grupę przestępczą “Quedagh”. Z punktu wiedzenia działania technicznego BlackEnergy od 2007 roku przeszedł spore zmiany i zamienił się z prostego trojana przeznaczonego do prowadzenia ataków typu DDoS do dość złożonego kodu, który wykorzystywany był w kampaniach spamerskich i atakach dedykowanych, również na klientów bankowości internetowej. Najnowsza aktywność BlackEnergy, która ma miejsce już od kilku miesięcy od momentu kryzysu na Ukrainie, skierowana jest przeciwko organizacjom na Ukrainie i w Polsce. Bazuje na rozsyłaniu dedykowanych emaili (technika spear-phishing), w których przynętą jest temat maila nawiązujący do wojny na Ukrainie. Do maila załączane są dokumenty MS-Office, które jak się łatwo domyślić, po otwarciu dokonują infekcji komputera ofiary. Do tego celu wykorzystuje podatność opisaną w komunikacie CVE-2014-1761. Nie wiadomo kto był zaatakowany trojanem BlackEnergy. Z raportu ESET wynika, że chodzi głównie o organizacje sektora rządowego i przemysłowego i było ich ponad 100. Wg specjalistów z ESET infekcje rozłożyły się mniej więcej po połowie na Ukrainie i w Polsce. F-Secure dodatkowo twierdzi, że atak dotyczył również innych państw – np: Belgii, gdzie najprawdopodobniej został użyty w celu zaatakowania komputerów należących do pracowników Parlamentu Europejskiego lub Komisji Europejskiej.

 

Źródło:
https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf
http://www.welivesecurity.com/2014/09/22/back-in-blackenergy-2014/

 

Share Button