A BlackEnergy ukrán szervezeteket támad

A Kaspersky Lab eddig ismeretlen támadások jeleit fedezték fel az orosz ajkú BlackEnergy APT csoporttól. Egy célzott adathalász dokumentumot találtak a cég szakértői, amelyben megemlítik a szélsőjobboldali ukrán nacionalista “Right Sector” politikai pártot, és úgy tűnik, hogy a dokumentumot egy népszerű ukrán televíziós csatorna elleni támadáshoz használták. A BlackEnergy egy igen dinamikus hackercsoport, és a legutóbbi ukrán támadások azt jelzik, hogy a destruktív cselekmények is a tevékenységeik közé tartoznak az ipari vezérlő berendezések feltörése és a kiberkémkedés mellett. A kezdetben DDoS programokat használó BlackEnergy jelentősen kiterjesztette az eszköztárát. Ezt különféle ATP típusú tevékenységekhez használja, többek között geopolitikai műveletekhez, például egy támadássorozathoz Ukrajna több kritikus ágazatában 2015 végén.

2015 közepe óta a BlackEnergy APT csoport már aktívan használja a hálózatban lévő számítógépek megfertőzésére a célzott adathalász e-maileket, amelyek makrókkal ellátott, rosszindulatú Excel-dokumentumokat tartalmaznak. Ez év januárjában a Kaspersky kutatói felfedeztek egy új rosszindulatú dokumentumot, amely a BlackEnergy trójai programmal fertőzi meg a rendszereket. Ellentétben a korábbi támadásoknál használt Excel dokumentumokkal, ez egy Microsoft Word-dokumentum volt. A dokumentum megnyitásakor megjelenik egy párbeszédablak, amely azt ajánlja a felhasználónak, hogy engedélyezze a makrókat a tartalom megtekintése érdekében. A makrók engedélyezése elindítja a BlackEnergy malware-rel való megfertőzést.

Amikor a trójai aktiválódik az áldozat számítógépén, alapvető információkat küld el a fertőzött gépről a parancs és vezérlő (C&C) szerveréhez. A rosszindulatú program által továbbított egyik mező tartalmaz egy karakterláncot, amely az áldozat azonosítójának tűnik. A Kaspersky Lab kutatói által elemzett dokumentum a „301018stb” azonosítót tartalmazta, ahol az „stb” az ukrán STB televíziócsatornára utalhat. Ezt korábban, 2015 októberében a BlackEnergy egyik áldozataként azonosították. A fertőzést követően további rosszindulatú modulok töltődnek le. A használt trójai változattól függően ezek funkciói eltérhetnek egymástól, és a számítógépes kémkedéstől az adatok törléséig terjedhetnek.