ESET identifica un successore del famigerato gruppo di APT BlackEnergy impegnato nel minacciare le infrastrutture critiche, che probabilmente sta preparando dei nuovi attacchi.
La recente ricerca ESET ha rivelato un possibile successore del gruppo APT BlackEnergy, il cui principale set di strumenti è stato utilizzato l’ultima volta nel dicembre 2015 durante il primo blackout causato da un attacco informatico. In concomitanza con questo incidente, quando circa 230.000 persone rimasero senza elettricità, iniziammo a rilevare un’altra struttura per la diffusione di malware e la denominammo GreyEnergy. Negli ultimi tre anni la stessa struttura è stata usata per attaccare le compagnie energetiche e altri obiettivi di alto valore in Ucraina e Polonia.
Abbiamo già ampiamente documentato la transizione degli attori delle minacce verso TeleBots, il gruppo più importante per la diffusione del ransomware NotPetya. Contemporaneamente abbiamo monitorato GreyEnergy – un sottogruppo che opera in parallelo, ma con motivazioni e obiettivi leggermente diversi.
Sebbene i dati della telemetria ESET mostrino l’attività del malware di GreyEnergy negli ultimi tre anni, questo gruppo APT non è stato documentato fino ad ora. Ciò probabilmente perchè le sue attività non sono state di natura distruttiva, a differenza delle numerose campagne di ransomware TeleBots (non solo NotPetya), dell’attacco della rete elettrica BlackEnergy, e del blackout causato da Industroyer – a cui abbiamo collegato questi gruppi per la prima volta la settimana scorsa. Invece, gli attori delle minacce dietro GreyEnergy hanno cercato di non attirare l’attenzione, concentrandosi su spionaggio e ricognizione, molto probabilmente in preparazione di futuri attacchi di cybersabotaggio o gettando le basi per un’operazione gestita da qualche altro gruppo APT.
La struttura del malware di GreyEnergy ha molte analogie con BlackEnergy, infatti presenta una costruzione modulare, in cui le sue funzionalità dipendono dalla particolare combinazione dei moduli caricati dall’operatore su ciascuno dei sistemi designati come vittima. I moduli che abbiamo osservato sono stati utilizzati per scopi di spionaggio e di ricognizione (ad esempio backdoor, estrazione di file, acquisizione di schermate, keylogging, furto di password e di credenziali, ecc.). Non abbiamo osservato alcun modulo specifico per i sistemi di controllo industriale (ICS). Tuttavia, abbiamo osservato che gli operatori di GreyEnergy hanno strategicamente preso di mira le workstation che eseguono software di controllo ICS e i server SCADA, che solitamente sono sistemi indispensabili e che non dovrebbero mai essere spenti, se non per operazioni periodiche di manutenzione.
Collegamenti a BlackEnergy e TeleBots
Di seguito alcune delle ragioni per le quali i ricercatori ESET hanno collegato BlackEnergy e GreyEnergy:
– La diffusione di GreyEnergy coincide con la scomparsa di BlackEnergy.
– Almeno una delle vittime prese di mira da GreyEnergy in passato era stata presa di mira da BlackEnergy. Entrambi i sottogruppi condividono un interesse per il settore energetico e le infrastrutture critiche. Entrambi hanno colpito principalmente in Ucraina e successivamente anche in Polonia.
– Esistono forti somiglianze strutturali tra i framework del malware. Entrambi sono modulari e utilizzano tutti e due una backdoor “mini” o leggera, che viene installata prima di ottenere i diritti di amministratore e che successivamente veicola la versione completa.
– Tutti i server C & C remoti utilizzati dal malware GreyEnergy erano ripetitori Tor attivi. Ciò si è verificato anche nel caso di BlackEnergy e Industroyer. Si ipotizza che questa sia una tecnica di sicurezza operativa utilizzata dal gruppo in modo che gli operatori possano connettersi a questi server in modo nascosto.
Rispetto a BlackEnergy, GreyEnergy è un toolkit più moderno con un’attenzione ancora maggiore alle funzionalità di occultamento. Una tecnica stealth di base – utilizzata da entrambe le famiglie – è quella di impiegare solo particolari moduli verso obiettivi selezionati e solo quando necessario. Inoltre, alcuni moduli di GreyEnergy sono parzialmente crittografati usando AES-256 e alcuni rimangono senza file – in esecuzione solo in memoria – con l’intenzione di ostacolare l’analisi e il rilevamento. Per coprire le loro tracce, in genere, gli operatori di GreyEnergy cancellano in modo sicuro i componenti del malware dagli hard disk delle vittime.
Oltre alle similitudini appena elencate con BlackEnergy, abbiamo osservato un altro collegamento tra GreyEnergy e il sottogruppo TeleBots. A dicembre 2016, abbiamo notato un’attività di GreyEnergy che distribuiva una versione iniziale del worm NotPetya di TeleBots – un anno e mezzo prima che fosse modificata, migliorata e impiegata nell’epidemia di ransomware più dannosa della storia. Vi è un significativo riutilizzo del codice tra questo componente ransomware e il modulo principale usato da GreyEnergy. Chiamiamo questa versione iniziale “Moonraker Petya”, basandoci sulla scelta del nome file da parte degli autori di malware, molto probabilmente un riferimento al film di James Bond. Non presentava il famigerato meccanismo di diffusione attraverso la vulnerabilità EternalBlue, poiché al tempo non era ancora stata resa pubblica.
GreyEnergy Tattiche, Tecniche e Procedure
Abbiamo osservato due distinti vettori di infezione: il “tradizionale” spearphishing e la compromissione di server Web pubblici. Quando uno di questi server Web vulnerabili era collegato al resto della rete di un’azienda presa di mira, l’utente malintenzionato tentava di spostarsi lateralmente su altre workstation. Questa tecnica viene utilizzata non solo come vettore di infezione primaria, ma anche come vettore di backup per ulteriori compromissioni.
I criminali in genere distribuiscono i proxy C & C interni dentro le reti delle vittime. Tali proxy C & C reindirizzano le richieste dai nodi infetti all’interno della rete a un server C & C esterno su Internet. Questa è un’altra tattica di occultamento, in quanto le attività di comunicazione tra più computer e un server interno sono meno sospette rispetto all’invio di dati verso un indirizzo remoto.
Una curiosità, indicativa del target del gruppo, è che alcuni dei campioni GreyEnergy rilevati sono stati firmati con un certificato di Advantech, un produttore taiwanese di hardware industriale e IoT. Questi sono stati probabilmente rubati alla società, proprio come nel caso di Stuxnet e di una recente campagna del malware Plead.
Gli operatori di GreyEnergy impiegano anche altri strumenti comuni nel loro arsenale, come Mimikatz, PsExec, WinExe, Nmap e uno scanner di porta personalizzato.
È importante notare che quando descriviamo i “gruppi APT”, realizziamo connessioni basate su indicatori tecnici quali similitudini nel codice, infrastruttura C & C condivisa, catene di esecuzione del malware e così via. In genere non siamo direttamente coinvolti nell’indagine e nell’identificazione delle persone che scrivono il malware e / o che lo distribuiscono e le relazioni interpersonali tra di loro. Inoltre, il termine “gruppo APT” è definito in modo molto approssimativo e spesso utilizzato unicamente per raggruppare gli indicatori di malware sopra menzionati. Questo è anche uno dei motivi per cui ci asteniamo da speculazioni in merito all’attribuzione di attacchi a stati nazionali o ad agenzie governative.
Lascia un commento