Οι BlackEnergy hackers ξαναχτυπούν στην Ουκρανία!

Οι BlackEnergy hackers οι οποίο κατάφεραν να εισβάλλουν με επιτυχία στο ουκρανικό σύστημα ενέργειας πιθανότατα να κρύβονται πίσω από μια νέα σειρά επιθέσεων στον κυβερνοχώρο των τραπεζών.

Η εταιρεία ασφάλειας  ESET απεκάλυψε πρόσφατα την ύπαρξη μιας νέας ομάδας hackers, την TeleBots, που δρα με παρόμοιο τρόπο με την BlackEnergy. Οι TeleBots στοχεύουν κατά κύριο λόγο τις τράπεζες της Ουκρανίας χρησιμοποιώντας spear-phishing emails που περιλαμβάνουν κακόβουλα έγγραφα Excel τα οποία μπορούν να μολύνουν τους υπολογιστές.

Τα Excel έγγραφα έρχονται σε μακροεντολές που κάνουν αυτόματη λήψη κακόβουλου λογισμικού και επιτρέπουν στους παραβάτες την περαιτέρω μόλυνση των συστημάτων διεισδύοντας στο σύνολο του δικτύου, αποσπώντας έγγραφα και κωδικούς πρόσβασης και εξάγοντας όποια πληροφορία είναι αποθηκευμένη σε αυτά. Κύριος στόχος των hackers είναι να δημιουργήσουν ένα κακόβουλο δυαδικό χρησιμοποιώντας ένα explorer.exe αρχείο και στη συνέχεια εκτελώντας το. Το δυαδικό αυτό ανήκει στην κατηγορία trojan downloader, είναι γραμμένο στην γλώσσα των προγραμματιστών και έχει δημιουργηθεί για να κατεβάζει και να εκτελεί κακόβουλα λογισμικά.

Οι hackers ανέπτυξαν επίσης και KillDisk ένα είδος καταστρεπτικού κακόβουλου λογισμικού που  καθιστά αδύνατη την επανεκκίνηση του λειτουργικού συστήματος. Συγκεκριμένα, το KillDisk διαγράφει τα αρχεία του συστήματος, καταγράφει το εαυτό του ως υπηρεσία και αλλάζει την οθόνη εκκίνησης με μια χαρακτηριστική εικόνα από το Mr. Robot TV show. Είναι ενδιαφέρον ότι αυτή η εικόνα δεν αποθηκεύετε οπουδήποτε αλλά μέσω ενός κωδικού αντλείται σε πραγματικό χρόνο από τα Windows GDI.

Τα συστήματα που παραβιάστηκαν από τους TeleBot έχουν μολυνθεί με παρόμοιο τρόπο με αυτά που οι BlackEnergy χρησιμοποίησαν σε προηγούμενες επιθέσεις τους. Αν και δεν είναι σαφές ακόμα πόσες από αυτές τις επιθέσεις είναι επιτυχημένες υποστηρίζεται ότι η ίδια σπείρα Ουκρανών hackers βρίσκεται από πίσω.