Campanie de phishing impotriva unui post de televiziune din Ucraina

Un document de tip phishing găsit de experții companiei menționează un
membru al unui partid naționalist de extremă dreapta din Ucraina, Sectorul de Dreapta, și pare să fi fost folosit într-un atac împotriva unui popular canal de
televiziune din Ucraina.

BlackEnergy este un actor foarte dinamic în
peisajul amenințărilor și ultimele atacuri din Ucraina indică
faptul că plănuiesc alte acțiuni distructive, pe lângă compromiterea unor instalații
industriale de control și activități de spionaj cibernetic. Inițial
utilizatoare a instrumentelor de atac de tip DDoS (Distributed Denial of
Service), gruparea BlackEnergy și-a dezvoltat ulterior
numeroase alte instrumente.

Acestea au fost utilizate în diferite activități de tip APT, inclusiv operațiuni
geopolitice, cum ar fi atacuri asupra câtorva sectoare critice din Ucraina, la
sfârșitul anului 2015. 

În ciuda faptului că a fost descoperit de mai
multe ori, grupul BlackEnergy își continuă activitățile periculoase. 

De la mijlocul anului 2015, gruparea APT
BlackEnergy a folosit email-uri de phishing cu documente Excel dăunătoare, conținând elemente macro, pentru a infecta computerele dintr-o rețea vizată. În luna ianuarie a acestui an, cercetătorii
Kaspersky Lab au descoperit un nou document infectat, care introduce în sistem
un troian BlackEnergy. Spre deosebire de celelalte dăți, acum era vorba de un document Microsoft Word.  

În momentul deschiderii documentului,
utilizatorului îi apare o căsuță de dialog cu recomandarea ca
elementele macro să fie activate pentru a putea vizualiza conținutul, ceea ce declanșează
infectarea malware BlackEnergy. 

Odată activat în computerul victimei,
programul malware trimite informații de bază despre acesta la serverul de comandă și control (C&C).

Unul dintre câmpurile din conexiunea C&C trimisă
de programul malware conține pare să se refere la
ID-ul victimei. Documentul analizat de cercetătorii Kaspersky Lab conține elementul de identificare „301018stb”, unde „stb” s-ar putea referi
la postul ucrainian de televiziune „STB”.

Acest post de televiziune a fost anterior victimă a atacurilor BlackEnergy
Wiper, în octombrie 2015. 

După această etapă, pot fi descărcate mai
multe module malware. În funcție de versiunea de troian
folosit, poate fi vorba de mai multe acțiuni,
de la spionaj cibernetic până la scurgeri de date. 

„Până acum am văzut grupul BlackEnergy atacând
entități din Ucraina cu documente Excel și Power Point”, a spus Costin Raiu, Director al Global Research &
Analysis Team, la Kaspersky Lab. „Ne așteptam
să folosească și documente Word, așa că acum suspiciunile noastre sunt confirmate. În general, începem să
vedem că documentele Word cu elemente macro devin tot mai populare în atacurile
de tip APT. De exemplu, am observat recent că grupul APT Turla folosește documente cu macro pentru a lansa atacuri similare. Suntem, astfel,
îndreptățiți să credem că aceste atacuri sunt reușite și de aceea le crește popularitatea.„ 

Gruparea APT BlackEnergy a atras atenția Kaspersky Lab în anul 2014, când a început să lanseze atacuri în
zona SCADA (Supervisory Control and Data Acquisition) împotriva unor victime
din sectoarele energetic și ICS (Industrial Control
Systems) din toată lumea.