APT grupa Black Energy ponovo deluje, briše fajlove i ruši sisteme

Vesti, 12.01.2016, 00:30 AM

APT grupa Black Energy ili kako je neki istraživači nazivaju Sand Worm aktivna je od 2007. godine a možda i pre toga.

Grupa je poznata po sajber špijunaži koja je ranije bila usmerena na NATO, Evropsku uniju, Ukrajinu i poljske državne institucije, kao i na Belu kuću.

Poslednjih nekoliko meseci grupa je svoju pažnju usmerila na ciljeve u Ukrajini.

Tako su se u novembru prošle godine na meti ove grupe našle ukrajinske medijske kuće, i to tokom lokalnih izbora u ovoj zemlji, a u decembru ukrajinske energetske kompanije.

I u jednom i u drugom slučaju, Black Energy je koristila novu komponentu trojanca Black Energy, nazvanu KillDisk koja je izgleda zamenila dstr plugin korišćen u ranijim verzijama trojanca. Ova komponenta, koju su analizirali istraživači kompanije ESET, zaslužna je za brisanje dokumenata i različitih vrsta fajlova (više od 4000 različitih vrsta fajlova), kao i za brisanje Windows Event logova i sistemskih fajlova, zbog čega se sistem ne može pokrenuti.

U napadima na medijske kuće, glavni cilj trojanca bio je brisanje dokumenata, video snimaka i drugih fajlova, dok su u napadima na energetske kompanije napadači bile više zainteresovani za brisanje fajlova i prekidanje procesa sa ciljem sabotaže rada industrijskih sistema.

Ove napade izgleda je otkrila ukrajinska bezbednosna služba (SBU) čiji su agenti otkrili malver u mrežama pojedinih regionalnih energetskih kompanija, a za vreme napada telefoni službi za podršku ovih kompanija bili su blokirani.

Ukrajinska vlada krivi Rusiju za ove napade, jer se svi ciljevi napada nalaze u područjima koji su pod kontrolom vlade.

Osim ranijih ciljeva kojima je zajedničko to što su svi radili protiv ruskih interesa, postoje i drugi pokazatelji koji govore da su napadači ruski hakeri. Ipak još uvek nije moguće sa sigurnošću reći da su napadači ruski hakeri, kao ni da li oni rade za rusku vladu.