התגלתה קבוצת האקרים חדשה שמטרתה לפגוע בתשתיות חשמל

ESET

חברת אבטחת המידע ESET חשפה פרטים על היורשים של קבוצת התקיפה BlackEnergy. הקבוצה המכונה בשם "GreyEnergy", מתמקדת בריגול ואיסוף נתונים, כנראה כחלק מהכנה לקראת מתקפת סייבר עתידית.

קבוצת BlackEnergy איימה על אוקראינה במשך שנים והחלה לקבל תשומת לב בדצמבר 2015, כשגרמה להפסקת חשמל שהותירה 230 אלף איש ללא גישה לחשמל. זו הייתה הפסקת החשמל הראשונה בעולם שנגרמה כתוצאה ממתקפת סייבר. זמן קצר לאחר התקרית חסרת התקדים, חוקרי ESET החלו לזהות מסגרת עבודה חדשה של נוזקות, אותה הם מכנים בשם "GreyEnergy".

"הבחנו במעורבותה של קבוצת GreyEnergy במתקפות כלפי חברות חשמל ומטרות איכות אחרות באוקראינה ובפולין במשך שלוש השנים האחרונות", אומר אנטון צ'רפנוב, חוקר אבטחה בכיר ב-ESET שהוביל את המחקר.

המתקפה על תשתית החשמל באוקראינה בשנת 2015 היא הפעילות הידועה האחרונה בה השתמשו בכלים של BlackEnergy. לאחר מכן, חוקרי ESET תיעדו קבוצת האקרים נוספת, שנקראת Telebots.
Telebots ידועים בעיקר בהתפרצות העולמית של NotPetya, נוזקה שמשחיתה את תוכנו של הכונן הקשיח. הנוזקה שיבשה חלק גדול מהפעילות העסקית העולמית בשנת 2017 וגרמה לנזק שמוערך במיליארדי דולרים. כפי שחוקרי ESET הוכיחו בזמן האחרון, קיים קשר בין Telebots ובין Industroyer, הנוזקה העוצמתית ביותר בימינו שמכוונת נגד מערכות בקרה תעשייתיות. הנוזקה עומדת מאחורי הפסקת החשמל בקייב, בירת אוקראינה, בשנת 2016.

"GreyEnergy נחשפה יחד עם Telebots, אך שלא כמו הקבוצה המוכרת יותר, פעולותיה של GreyEnergy לא מוגבלות רק לאוקראינה, ועד עתה הן לא יצרו נזק. ניתן לראות בבירור שהם מנסים לשמור על פרופיל נמוך", אומר אנטון צ'רפנוב.

על פי הניתוח המקיף של ESET, קיים קשר הדוק בין הנוזקות של קבוצת GreyEnergy ובין הנוזקות של BlackEnergy ו-Telebots. המבנה שלהן מודולרי, ומסיבה זו התפקוד שלהן תלוי בשילוב המודולים הספציפי אותם התוקף מעלה למערכות של הקורבן.

המודולים שתוארו בניתוח של ESET שימשו למטרות ריגול ואיסוף נתונים, וביניהם: דלת אחורית (Backdoor), חילוץ קבצים, הוצאת צילומי מסך, מעקב אחר הקשות מקלדת (Keylogger), גניבת סיסמאות, נתוני גישה ועוד.

"קבוצת GreyEnergy עושה שימוש בטכניקה אותה ראינו בתקיפה המפורסמת של הנוזקה Stuxnet כנגד הכורים האטומיים באיראן. הדלת האחורית המרכזית בה השתמשו התוקפים היתה חתומה בתעודת אבטחה שנגנבה מחברה שמנפיקה תעודות אבטחה כדי לשוות לדלת האחורית אמינות," אומר אמיר כרמי, מנהל טכנולוגיות ב-ESET ישראל.

החשיפה והניתוח של ESET בכל הנוגע לקבוצת התקיפה GreyEnergy חשובה להתגוננות מפני האיום הספציפי הזה, והיא גם מועילה להבנת הטקטיקות, הכלים והתהליכים בהם משתמשים קבוצות ההאקרים המתקדמות ביותר.
ניתן למצוא עוד פרטים בבלוג של חברת ESET.