Cybersecurity Malware

GreyEnergy: อัพเดตคลังแสงของหนึ่งในอาชญากรไซเบอร์ที่อันตรายที่สุด

การรับช่วงต่อ BlackEnergy ของ GreyEnergy มัลแวร์โจมตีอุตสาหกรรมพลังงาน

งานวิจัยของ ESET เปิดเผยผู้รับช่วงต่อกลุ่มแฮกเกอร์ชื่อดัง BlackEnergy APT Group ที่มีเป้าหมายเป็นโครงสร้างพื้นฐานสำคัญ เพื่อสร้างความเสียหาย

นักวิจัยของ ESET วิเคราะห์เครื่องมือที่กลุ่ม BlackEnergy APT Group ใช้งานล่าสุดเมื่อเดือนธันวาคม ปี 2015 ซึ่งเป็นเหตุการณ์ที่ไฟฟ้าดับเพราะการโจมตีไซเบอร์เป็นครั้งแรกของโลก ในเหตุการณ์นี้มีประชากรกว่า 230,000 คนที่ไม่สามารถใช้ไฟฟ้าได้ ซึ่งเราก็พบมัลแวร์และตั้งชื่อให้มันว่า GreyEnergy เนื่องจากพฤติกรรมในการโจมตีบริษัทพลังงาน และองค์กรใหญ่ๆในประเทศยูเครนและโปแลนด์เป็นเวลากว่า 3 ปี

ถึงแม้ว่าจากการตรวจจับโดย ESET จะพบว่า GreyEnergy อยู่มาถึง 3 ปี แต่ก็ยังไม่มีเอกสารใดๆเปิดเผยรายละเอียด จนกระทั่งตอนนี้ ด้วยความอันตรายที่ดูไม่อันตรายของมัน ไม่เหมือนกับมัลแวร์จำพวกโปรแกรมเรียกค่าไถ่ อย่าง WannaCry หรือ NotPetya และมัลแวร์โจมตีอุตสาหกรรมโดยเฉพาะอย่าง Industroyer จึงทำให้ GreyEnergy หลบซ่อนตัวได้เป็นอย่างดี

โครงสร้างของ GreyEnergy มีความคล้ายคลึงกับ BlackEnergy เป็นอย่างมาก เช่น โมดูลที่รองรับการเปลี่ยนฟังก์ชั่น ให้เหมาะสมกับแต่ละเป้าหมาย ทั้ง backdoor, file extraction, taking screenshots, keylogging, password และ credential stealing ซึ่งเราวิเคราะห์โมดูลทั้งหมด และพบว่า GreyEnergy โจมตีตัวควบคุมของ ICS (Industrial Control Systems) ระบบควบคุมของอุตสาหกรรม โดยใช้เซิร์ฟเวอร์และซอฟต์แวร์ของ SCADA

GreyEnergy: A successor to BlackEnergy

ความเกี่ยวข้องระหว่าง BlackEnergy และ TeleBots

  1. การปรากฎตัวของ GreyEnergy ที่เกิดขึ้นในช่วงเวลาใกล้เตียงกับที่ BlackEnergy หายไป
  2. ผู้ได้รับผลกระทบโดย GreyEnergy มักเคยโดน BlackEnergy เล่นงานมาก่อน
  3. ความเหมือนของโครงสร้างมัลแวร์ และ backdoor ขนาดเล็ก

เมื่อเปรียบเทียบ GreyEnergy เครื่องมือมีความทันสมัยมากกว่า BlackEnergy โดยเฉพาะความสามารถในการหลบการตรวจจับ การเข้ารหัสโมดูลเฉพาะส่วนด้วย AES-256 และระบบ Fileless ใน Memory ทำให้การตรวจจับนั้นทำได้ยาก

Author: Anton CherepanovและRobert Lipovsky
Source:
https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/
Translated by: Worapon H.

%d bloggers like this: