Bezpieczeństwo

Wiadomo kto atakował Ukraińską i... Polską infrastrukturę energetyczną

JS
Jakub Szczęsny
3

M. in. NotPetya spowodował ogromne straty w newralgicznych infrastrukturach - nie tylko na Ukrainie. Jak się okazuje, na celowniku cyberprzestępców była także Polska i w przypadku tych najbardziej niszczycielskich metod atakowano głównie wielkie przedsiębiorstwa odpowiedzialne za krytyczne części funkcjonowania państw. Okazuje się, że znaleziono dowody pozwalające na wskazanie winnych.

W przypadku NotPetya, spekulowano, że za tym atakiem stoją Koreańczycy z północy: aktywność hakerów działających na zlecenie Kim Dzong Una według ekspertów miało być manifestacją siły nowego przywódcy: doskonale czującego się nie tylko w dziedzinie rozwoju programu nuklearnego, ale także wywierania nacisków za pomocą elementów nowych w ciemnej odsłonie polityki zagranicznej.

ESET w tej sprawie odkrył dowody, które pozwalają na wskazanie winnych takich ataków. TeleBots ma odpowiadać za ataki za wykorzystaniem ransomware NotPetya oraz Industroyera, który spowodował ogromne trudności w infrastrukturze energetycznej Ukrainy. W wyniku tych ostatnich działań, ponad milion obywateli tego kraju nie mogło skorzystać z przyłączy gazu oraz energii elektrycznej. Ale to nie wszystko - TeleBots ma również swój odłam o nazwie GreyEnergy i to właśnie oni od 2015 roku obserwują polskie firmy energetyczne.

Skala działań cyberprzestępców jest naprawdę ogromna. TeleBots nie przebierają w środkach

Telebots, znani wcześniej jako BlackEnergy (stąd też pewnie bardzo podobna nazwa odłamu) próbowali wykorzystać zupełnie nowy rodzaj backdoora Win32/Exaramel. Analizy pozwoliły na znalezienie ogromnych podobieństw między backdoorem wykorzystywanym niedawno, a tym znajdującym się w Industroyerze, którym atakowano elementy infrastruktury krytycznej na Ukrainie. Co więcej, TeleBots uznawani są za sprawców ataku na firmę M.E. Doc - twórcę pakietu biurowego, co było przyczynkiem do propagacji bardzo złośliwego ransomware (a raczej wipera) NotPetya: wtedy sparaliżowane zostały obiekty nie tylko na Ukrainie, ale również w Polsce, Francji, Rosji, Wielkiej Brytanii, a nawet w USA.

Mocno powiązany z TeleBots odłam - GreyEnergy ma szpiegować ukraińskie oraz polskie firmy energetyczne mniej więcej od roku 2015. Być może jest to efekt większego zlecenia ze strony wrogich służb (istnieją domniemania, że za wszystkim stoją Rosjanie) i zwyczajnie oczekuje się na dobry moment do przeprowadzenia ataku: testowane są zabezpieczenia, a także poszukuje się słabych punktów przedsiębiorstw.

Zaawansowane ataki ukierunkowane (APT) grupy GreyEnergy polegają na wprowadzaniu złośliwego oprogramowania do komputerów konkretnych firm i instytucji. Instalowane zagrożenia są w stanie wykradać dowolne poufne dane takie jak loginy i hasła, a także wykonywać zrzuty ekranu i przesyłać je na serwery cyberprzestępców.

Kamil Sadkowski, starszy analityk zagrożeń w ESET

Jest więc bardziej niż prawdopodobne to, że to nie ostatni tego typu atak i powinniśmy się spodziewać kolejnych w ciągu najbliższych miesięcy. Najprawdopodobniej, biorąc pod uwagę obecną sytuację polityczną w Europie oraz odkrycia ekspertów - Rosjanie prowadzą bardzo brutalną wojnę hybrydową, która polega na destabilizacji kluczowych sektorów działalności potencjalnie wrogich państw.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy: