Bezpečnostná spoločnosť ESET zaznamenala novú vlnu útokov na ukrajinských distribútorov elektrickej energie. Na rozdiel od decembrového incidentu však útočníci použili iný škodlivý kód. Prvá vlna pripravila 23. decembra 2015 o elektrinu asi pol milióna obyvateľov Ivanofrankivskej oblasti. ESET pri svojej analýze vtedy zistil, že tento prípad je prepojený s útokmi na ukrajinské médiá a s kybernetickou špionážou zameranou na ukrajinské vládne agentúry.
Spoločným menovateľom bol škodlivý kód BlackEnergy, niekedy nazývaný aj Sandworm alebo Quedagh. V tomto prípade však útočníci použili open sourceový backdoor GCat. „Spôsob útoku sa oproti decembrovej vlne veľmi nezmenil. Útočníci zaslali tento utorok spearphishingové e-maily potenciálnym vytypovaným obetiam. Správa obsahovala prílohu so škodlivým XLS súborom, čiže tabuľkou,“ opisuje priebeh druhej vlny útoku Robert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET. „E-mail má obsah s linkom na obrázkový súbor, ktorý je umiestnený na vzdialenom serveri. Útočníci vďaka tomu získajú notifikáciu o tom, že cieľ dostal správu a aj ju otvoril. Túto zaujímavú techniku sme v minulosti zaznamenali aj pri skupine BlackEnergy,“ dodáva Lipovský.
Po otvorení tabuľky sa obeti zobrazí správa, ktorá sa ju snaží naviesť k tomu, aby v dokumente povolila makrá. Konkrétne falošným oznamom: „Pozor! Tento dokument bol vytvorený v novšej verzii Microsoft Office. Marká sú potrebné na zobrazenie obsahu tohto dokumentu.“ Vlastnosťou makier je to, že sa dokážu pripojiť na internet. Tieto falošné správy o nutnosti povolenia makier používajú útočníci aj pri bežných pokusoch infikovať akékoľvek spoločnosti. V tomto prípade sa po povolení makier stiahne do infikovaného zariadenia trójsky kôň, ktorý sa do počítača snaží zase stiahnuť backdoor GCat.
Server, z ktorého trójsky kôň sťahuje GCat však bol už odstavený. Na základe tvrdení niektorých bezpečnostných spoločností umiestnili isté médiá skutočných útočníkov do Ruska. Lipovský s tým však nesúhlasí. „Momentálne nemáme žiadne dôkazy, ktoré by naznačovali, kto je za týmito útokmi. Spraviť jednoduchú dedukciu na základe momentálnej politickej situácie nás môže priviesť k správnej odpovedi, ale aj nie. V najlepšom prípade ide o špekuláciu,“ vysvetľuje Lipovský. „Aby som to zosumarizoval, najnovšie odhalenia nás vôbec nepriblížili k odhaleniu pôvodu útokov na Ukrajine. Práve naopak, pripomínajú nám, aby sme sa neuchyľovali k urýchleným záverom,“ dodáva Lipovský.
Produkty spoločnosti ESET detegujú novú vlnu útokov ako:
VBA/TrojanDropper.Agent.EY
Win32/TrojanDownloader.Agent.CBC
Python/Agent.N
