Про це повідомили в блозі експерти компанії ESET, яка займається розробкою антивірусного забезпечення.
Новітня шкідлива програма GreyEnergy по функціоналу схожа на вірус BlackEnergy, що раніше використовувався в атаках на український енергетичний сектор і призвів до блекауту на Прикарпатті у 2015 році.
На думку фахівців, GreyEnergy може вважатися спадкоємицею BlackEnergy з ряду причин: обидва сімейства володіють подібною модульною структурою, використовують схожий метод зв’язку з керуючими серверами через вузли Tor і атакують компанії, що мають відношення до енергетичної сфери і критичної інфраструктури (обидва сімейства були помічені на системах українських енергетичних підприємств, і принаймні одна з жертв GreyEnergy була заражена BlackEnergy).
Читайте: Кібератака в Україні. СБУ блокувала розповсюдження вірусу
Модулі цього шкідливого програмного забезпечення використовувалися для шпигунства і розвідки. До функціоналу модулів входять бекдор, збір файлів, здійснення знімків екрану, читання натиснень клавіатури, викрадення паролів та облікових даних тощо.
– Ми не виявили ніяких модулів, спеціально спрямованих на програмне забезпечення промислових систем управління або пристрою ICS. Однак ми зафіксували, що зловмисники GreyEnergy стратегічно націлювалися на робочі станції операторів ICS, керуючих програмним забезпеченням і серверами SCADA, – пояснюють фахівці ESET.
Поява GreyEnergy збігається з періодом зникнення BlackEnergy, це може говорити про те, що організатором обох кампаній є одне і те ж саме угрупування.
Шкідливе ПЗ GreyEnergy поширюється двома методами: за допомогою фішингових листів і через скомпрометовані публічно доступні web-сервери. З допомогою GreyEnergy кіберзлочинці збирають конфіденційну інформацію, таку як облікові дані.
Експерти не розкрили назви постраждалих фірм, але відомо, що під атаку потрапили Україна і Польща.
Нагадаємо, наприкінці жовтня 2017 року одеський аеропорт, Мінінфраструктури, а також Київметрополітен постраждали від кібератак.
Фото: dreamstime.
