Ataki BlackEnergy

Ataki BlackEnergy (BE1) – cyberataki wykorzystujące złośliwe oprogramowanie z rodziny BlackEnergy, opracowane przez nieznanego hakera. Po raz pierwszy pojawiły się w 2007 roku.

Początkowo oprogramowanie było zaprojektowane jako zestaw narzędzi do tworzenia botnetów do przeprowadzania ataków DDoS. Obsługiwał on różne polecenia zalewania, w tym protokoły takie jak: ICMP, TCP SYN, UDP, HTTP i DNS.^[1] Wśród głównych celów cyberataków wykorzystujących BE1 znalazły się firmy ICS/SCADA i przedsiębiorstwa energetyczne na całym świecie, w szczególności ICS, sektor energetyczny, koleje, przemysł wydobywczy, lotniska, rząd i media na Ukrainie^[2]. BE1 zyskał rozgłos w 2008 roku, kiedy zgłoszono, że został użyty w cyberatakach przeprowadzonych przeciwko Gruzji w konflikcie rosyjsko-gruzińskim. Jego wykorzystanie ewoluowało i w kolejnych latach powstały BlackEnergy 2 i BlackEnergy 3^[3].

BlackEnergy 2 (BE2)[edytuj | edytuj kod]

BE2 to uaktualniona wersja BlackEnergy wykryta w 2010 roku. Oprogramowanie zostało całkowicie przerobione i ewoluowało z zestawu narzędzi do przeprowadzania ataków DDoS do struktury modułowej. BE2 posiada modułową konstrukcję, która wykorzystuje wtyczki do przeprowadzenia specyficznego złośliwego działania bez konieczności przepisywania zupełnie nowego kodu. BlackEnergy 2 dostarcza rozszerzone funkcje, specyficzne dla ataków pluginami do szpiegowania, oszustw, kradzieży danych użytkowników, skanowania sieci, wysyłania spamu i innych^[4].

Możliwości BE2 obejmują^[5]:

uruchamianie plików lokalnych,
pobieranie i uruchamianie plików zdalnych,
aktualizowanie bota i wtyczek za pomocą serwerów C&C^[6].

Wtyczki i funkcje aktualizacji BE2 sprawiają, że jest on wysoce unikalny i pozwala na znacznie dłuższy czas przetrwania na skompromitowanych systemach. Wtyczka wykorzystuje WMI do gromadzenia danych dotyczących hosta ofiary. BE2 zawiera również wtyczkę „Destroy”, która niszczy dane przechowywane na dyskach twardych ofiary poprzez nadpisywanie zawartości plików. Jeśli bot zostanie wykryty przez oprogramowanie antywirusowe, napastnik przepisuje tylko odkrytą część i wysyła aktualizację do botów^[3]. Ataki BlackEnergy w wersji 2, są szeroko rozpowszechnione geograficznie. Od końca 2013 roku zidentyfikowano ofiary BE2 w następujących krajach^[7]:

Rosja
Ukraina
Polska
Litwa
Białoruś
Azerbejdżan
Kurdysta
Kazachstan
Iran
Izrael
Turcja
Libia
Kuwejt
Tajwan
Wietnam
Indie
Chorwacja
Niemcy
Belgia
Szwecja

BlackEnergy 3 (BE3)[edytuj | edytuj kod]

BE3 pojawiła się po raz pierwszy w 2014 roku. W porównaniu z BE2, BlackEnergy 3 podlega niewielkim zmianom. Oprogramowanie używa innego protokołu do komunikacji z jego wtyczkami. Co więcej, charakteryzuje się lżejszym interfejsem bez komponentu sterującego w trybie jądra (ang. kernel-mode driver(inne języki))^[5]. Instalator BlackEnergy 3 wrzuca główny komponent DLL bezpośrednio do lokalnego folderu danych aplikacji^[8]. BE3 może być również używany jako keylogger do uzyskania i wydobycia szczegółów dotyczących sieci. Pierwsza kampania przy użyciu BlackEnergy 3 została przeprowadzona w 2014 roku, rozpoczynając się od e-maili phishingowych i rozpoznania. W tym przypadku BE3 został prawdopodobnie zainstalowany na systemach przedsiębiorstw użyteczności publicznej na sześć miesięcy przed tym, jak hakerzy spowodowali awarię 23 grudnia 2015 roku, gdzie zdalnie uzyskano dostęp do centrów kontroli trzech ukraińskich firm zajmujących się dystrybucją energii elektrycznej. Przejmując kontrolę nad systemami SCADA, złośliwi aktorzy otworzyli wyłączniki w około 30 podstacjach dystrybucyjnych w Kijowie i zachodnim regionie Iwano-Frankiwska, powodując utratę mocy przez ponad 200 000 konsumentów. Wiadomości e-mail typu phishing z zainfekowanymi załącznikami zostały wysłane do biur firm. Po otwarciu załączników makra umożliwiły hakerom uzyskanie zdalnego dostępu. Po uzyskaniu dostępu zaczęli zbierać dane uwierzytelniające do wirtualnych sieci prywatnych (VPN) używanych przez operatorów sieci do zdalnego dostępu do centrów kontroli^[9].

Zobacz też[edytuj | edytuj kod]

CERT-POLSKA

Przypisy[edytuj | edytuj kod]

↑ G. Krishan, R. Anitha, R. s Lekshmi, M. Bonato, M. GranaComputational Intelligence, Cyber Seciurity and Computational Models, ICC, 2013.
↑ R. Perdisi, C. Maurice, G. Giacino, M. Almgren, Detection of Intrusiond and Malware, and Vulnerability Assessment, 16th International Conference, DIMVA 2019, Gothenburg, Sweden, 2019.
↑ ^a ^b https://attack.mitre.org/software/S0089/ (28.04.2020).
↑ Inside the Black Energy 2 Botnet https://threatpost.com/inside-black-energy-2-botnet-072110/74236/ (28.04.2020).
↑ ^a ^b https://malpedia.caad.fkie.fraunhofer.de/details/win.blackenergy (28.04.2020).
↑ Serwer kontroli (C&C) to serwer, który umożliwia oszustowi kontrolować botnet i wysyła szkodliwe polecenia do jego członków, reguluje oprogramowanie spyware, odbiera skradzione informacje oraz umożliwia komunikację poprzez Internet między atakującym, a celem ataku.
↑ BE2 Custom Plugins, Router Abuse, and Target Profiles | Securelist [online], securelist.com [dostęp 2020-05-03] .
↑ Cherepanov A., Lipovsky R. Październik 2016, https://www.virusbulletin.com/uploads/pdf/magazine/2016/VB2016-Cherepanov-Lipovsky.pdf (28.04.2020).
↑ Analysis of the Cyber Attack on the Ukrainian Power Grid, March 18, 2016, https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf (28.04.2020).

[1] G. Krishan, R. Anitha, R. s Lekshmi, M. Bonato, M. GranaComputational Intelligence, Cyber Seciurity and Computational Models, ICC, 2013.

[2] R. Perdisi, C. Maurice, G. Giacino, M. Almgren, Detection of Intrusiond and Malware, and Vulnerability Assessment, 16th International Conference, DIMVA 2019, Gothenburg, Sweden, 2019.

[autonazwa1-3] ttps://attack.mitre.org/software/S0089/ (28.04.2020).

[4] Inside the Black Energy 2 Botnet https://threatpost.com/inside-black-energy-2-botnet-072110/74236/ (28.04.2020).

[malpedia.caad.fkie-5] ttps://malpedia.caad.fkie.fraunhofer.de/details/win.blackenergy (28.04.2020).

[6] Serwer kontroli (C&C) to serwer, który umożliwia oszustowi kontrolować botnet i wysyła szkodliwe polecenia do jego członków, reguluje oprogramowanie spyware, odbiera skradzione informacje oraz umożliwia komunikację poprzez Internet między atakującym, a celem ataku.

[7] BE2 Custom Plugins, Router Abuse, and Target Profiles | Securelist [online], securelist.com [dostęp 2020-05-03] .

[8] Cherepanov A., Lipovsky R. Październik 2016, https://www.virusbulletin.com/uploads/pdf/magazine/2016/VB2016-Cherepanov-Lipovsky.pdf (28.04.2020).

[9] Analysis of the Cyber Attack on the Ukrainian Power Grid, March 18, 2016, https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf (28.04.2020).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]