ESET: GreyEnergy groep richt zich op vitale infrastructuur

ESET heeft details onthuld van een opvolger van de BlackEnergy APT-groep. Deze aanvaller, door ESET benoemd als GreyEnergy, richt zich op spionage en verkenning, mogelijk in voorbereiding op toekomstige cybersabotageaanvallen.

ESETBlackEnergy terroriseert Oekraïne al jaren en trad in december 2015 op de voorgrond wanneer de groep een stroomstoring veroorzaakte waarbij 230.000 mensen zonder elektriciteit kwamen te zitten. Dit was de eerste stroomstoring als gevolg van een cyberaanval. In dezelfde periode detecteerden ESET-onderzoekers een ander malware framework en noemden het GreyEnergy.

“De afgelopen drie jaar hebben we gezien dat GreyEnergy betrokken was bij aanvallen op energiebedrijven en andere vitale doelen in Oekraïne en Polen”, zegt Anton Cherepanov, ESET Senior Security Researcher die het onderzoek leidde.

De aanval van 2015 op de Oekraïense energie-infrastructuur was de meest recent bekende operatie waarbij gebruik werd gemaakt van de BlackEnergy toolset. Vervolgens documenteerden ESET-onderzoekers een nieuwe APT-subgroep, TeleBots.

TeleBots staan bekend om de wereldwijde uitbraak van NotPetya, de destructieve malware die de wereldwijde bedrijfsvoering in 2017 verstoorde en schade veroorzaakte in de orde van miljarden dollars. Zoals ESET-onderzoekers onlangs hebben bevestigd, zijn TeleBots ook verbonden met Industroyer, de krachtigste moderne malware voor industriële besturingssystemen en de boosdoener achter de tweede stroomstoring in de Oekraïense hoofdstad Kiev in 2016.

“GreyEnergy is samen met TeleBots opgedoken, maar in tegenstelling tot BlackEnergy, zijn de activiteiten van GreyEnergy niet beperkt tot Oekraïne en tot nu toe niet schadelijk geweest. Het is duidelijk dat ze onder de radar willen vliegen”, zegt Anton Cherepanov.

Volgens de grondige analyse van ESET is GreyEnergy malware nauw verbonden met zowel BlackEnergy als TeleBots malware. Het is modulair opgebouwd, dus de functionaliteit is afhankelijk van de specifieke combinatie van modules die de operator uploadt naar de systemen van het slachtoffer.

De modules beschreven in de analyse van ESET werden gebruikt voor spionage- en verkenningsdoeleinden en omvatten: backdoor, informatieverzameling, het maken van screenshots, keylogging, het bemachtigen van wachtwoorden en inloggegevens, enz.

“We hebben geen modules waargenomen die specifiek gericht zijn op software of apparatuur voor industriële besturingssystemen. We hebben echter vastgesteld dat GreyEnergy-operators zich strategisch richten op ICS-werkstations met SCADA-software en -servers”, legt Anton Cherepanov uit.

ESET’s openbaarmaking en analyse van GreyEnergy is belangrijk voor een succesvolle verdediging tegen deze specifieke dreigingsactor en voor een beter begrip van de tactieken, tools en procedures van de meest geavanceerde APT-groepen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.