BlackEnergy间谍组添加磁盘雨刷和SSH后门阿森纳 灰鸽子下载,远程控制软件
BlackEnergy间谍组添加磁盘雨刷和SSH后门阿森纳 灰鸽子下载,远程控制软件集团最近袭击了乌克兰的能量分布和媒体公司造成权力和数据丢失
网络间谍集团专注于能源行业的公司和组织最近更新了阿森纳与破坏性data-wiping组件和一个后门SSH服务器。
该组织在安全社区被称为沙虫或BlackEnergy后其主要恶意软件工具,已经活跃了好几年。
主要针对企业,工业控制系统,特别是在能源部门,但也追求高层次的政府组织,市政府办公室、联邦紧急服务,国家标准机构、银行、学术研究机构和房地产公司。
在过去的几个月里,该集团已从媒体和有针对性的组织能源产业在乌克兰,根据杀毒厂商ESET安全研究人员。这些新业务带来了一些变化在该集团的技术。
去年11月,乌克兰的计算机紧急响应小组(CERT-UA)报道说,在10月的地方选举中,多个媒体与BlackEnergy恶意软件攻击导致视频内容和其他数据的损失。
ESET的研究人员称,罪魁祸首是一个新的BlackEnergy组件被称为KillDisk可以删除特定类型的配置文件,使系统不能启动的影响。
KillDisk变种的攻击媒体机构配置删除超过4000的文件类型,其中许多是视频和文档。
最近也使用相同的组件在攻击能源公司在乌克兰,但是有不同的配置。它只针对35个文件扩展名和定时发作的选择。
”以及能够删除系统文件,使系统无法开机——典型功能等破坏性的木马——KillDisk变异检测配电公司似乎也包含一些附加功能专门为了破坏工业系统,“ESET的研究人员在一篇博客文章中说 灰鸽子使用教程。
12月23日前夕,大面积Ivano-Frankivsk区在乌克兰遭遇停电。乌克兰新闻社听报道,中断是由病毒引起,断开电力变电站。
ESET的研究人员认为,这种攻击的BlackEnergy恶意软件和执行并不是唯一的一个。
“看着ESET的遥测,我们已经发现,报道的案例并不是孤立的事件和其他能源公司在乌克兰被网络罪犯的目标同时,“他们在一份报告中表示。
KillDisk组件是用于一些攻击。除了擦拭各种文件类型,它被配置为阻止两个过程,其中一个可能与ELTIMA系列以太网连接器或亚欧会议普遍、远程管理平台为工业控制系统(ICS)。
这不是第一次BlackEnergy被用来攻击工业控制系统。2014年,工业控制系统网络应急响应小组(ICS-CERT),美国国土安全部的一个部门,警告说,HMI(人机界面)产品运行多个公司从通用电气、西门子和BroadWin / Advantech BlackEnergy感染系统。
HMIs是软件提供一个图形用户界面的应用程序监控和工业控制系统相互作用。
另一个最近除了集团的阿森纳是一个叫做Dropbear后门版本的SSH服务器。
ESET的研究人员看到了BlackEnergy攻击者破坏机器上部署这个软件的变种已经预先配置的接受一个硬编码的密码和SSH身份验证的关键。 灰鸽子使用教程.灰鸽子教程.
页:
[1]