14/02/19
/it8-1.jpg?width=270&name=it8-1.jpg)
Исследователи в области кибербезопасности продолжают изучать инфраструктуру группировки GreyEnergy, предположительно имеющей отношение к кибератакам на энергосистему Украины в 2015 году. В ходе реверс-инжиниринга вредоносного ПО GreyEnergy эксперт компании Nozomi Networks Алессандро Ди Пинто (Alessandro Di Pinto) обнаружил огромное количество «мусорного» кода, призванного запутать аналитиков и сбить их со следа.
«Широкое использование атакующими методов, затрудняющих проведение экспертизы, подчеркивает их стремление сохранять скрытность и обеспечить незаметное заражение вредоносным ПО», - заметил исследователь.
Ди Пинто проанализировал вредоносный документ Microsoft Word, использовавшийся в одной из фишинговых атак GreyEnergy. При открытие документа на систему загружался бэкдор, представляющий собой исполняемый файл-«упаковщик» (исполняемый файл, содержащий один или несколько сжатых или зашифрованных файлов). Подобные «упаковщики» легально могут использоваться для защиты интеллектуальной собственности, однако нередко к ним прибегают злоумышленники для сокрытия вредоносного кода.
Ди Пинто отметил умелость GreyEnergy в выборе тактики и инструментов для атак с использованием фишинговой рассылки.
«Исходя из того, насколько хорошо вредоносная программа маскирует себя после заражения системы, лучшим способом защиты от APT-группировки GreyEnergy для промышленных организаций будет обучение сотрудников опасностям фишинговых кампаний, в том числе способам распознавания вредоносных писем и вложений», - подчеркнул Ди Пинто.
Аналитикам пока не удалось выявить повторные атаки GreyEnergy на промышленные системы автоматизации. По словам Ди Пинто, киберпреступники часто взламывают IT-системы промышленных организаций для изучения работы АСУ ТП.
Подробнее: https://www.securitylab.ru/news/497934.php
