BlackEnergy: идейные разрушители наносят новый удар

Бизнес

tallБольше, чем шпионаж

В настоящее время большинство направленных атак против компаний осуществляются с кибершпионскими целями, с тем чтобы выудить драгоценные коммерческие тайны или конфиденциальную личную информацию. Но время от времени злоумышленники занимаются чем-то совершенно иным, например, саботажем. Подобный вид нападения вызывает особую тревогу, поскольку IT-отделам свойственно фокусироваться на угрозе потери/утечки данных, и они оказываются неготовы к кибератаке, призванной разрушить бизнес-процесс, в который вовлечено много разных систем. Иногда может дойти и до физических последствий, особенно если подвергшийся нападению бизнес широко использует ICS/SCADA, до которых можно добраться (опасная ошибка разработчиков!) через сети общего пользования.

Damage Incorporated

Группа киберпреступников BlackEnergy — оператор направленных угроз, склонный к разрушению. Данная группа успела обрести известность, сделав себе имя в конце 2000-х годов благодаря мощным DDoS-атакам с использованием одноимённого трояна. С 2014 года она привлекла к себе особое внимание, проявив интерес к пользователям и разработчикам ICS/SCADA по всему миру. Инструменты и операции группы наглядно демонстрируют их серьёзные навыки, значительно более выдающиеся, чем у средних операторов DDoS-ботнетов, а также их способности в кибершпионаже и саботаже производства.

Украинские компании давно являются их излюбленными мишенями, особенно фирмы с ICS/SCADA, поставщики энергии, а также средства массовой информации. Как будто намеренно следуя против течения, вместо того чтобы выбрать эксплойты Java и Adobe Flash, как делают большинство современных злоумышленников, эти преступники предпочитают протаскивать свои инфекции внутрь оборонительного периметра цели при помощи файлов Microsoft Office.

Типичный образец их приманки .docx, например, ссылался на популярную новостную тему о политической партии «Правый сектор» (деятельность запрещена в России) и оказался направлен на конкретную медиакомпанию.

Файл содержал встроенный макрос, который собирает и запускает типичный дроппер BlackEnergy. Для успешного запуска этого скрипта в файлах, в MS Word должно быть разрешено выполнение макросов. Поэтому сразу по клику на файле диалоговое окно Microsoft Word предлагало пользователю включить макросы, чтобы открыть файл. О причине в диалоговом окне говорилось, что файл создан с помощью более поздней версии MS Office. Такая приманка особенно успешна в тех географических регионах, где темпы внедрения новейших версий программного обеспечения являются низкими.
2

После успешного выполнения дроппер распаковывал последнюю полезную нагрузку, которая включалась и настраивалась для автозапуска.

На этом этапе, после получения команд от сервера управления и контроля основной модуль, служащий, в основном, в качестве загрузчика, начинал скачивать соответствующие вспомогательные модули, способные искать и просеивать данные и/или сеять хаос и разрушения в инфраструктуре жертвы.

Одним из самых популярных у BlackEnergy методов нанесения ущерба является обширное удаление данных. Для этого преступники добавили в свой арсенал новый очиститель — гораздо более продвинутый, чем их предыдущая модель уровня диска, и способный избирательно уничтожать различные типы данных, не нуждаясь в администраторских привилегиях.

Скажем «нет» разрушению!

Вредоносная программа, которую использует BlackEnergy, по всей видимости, особенно хорошо натаскана на разные системы безопасности, так что операции преступников нередко становятся успешными. Отсюда необходимость быть особенно тщательным при построении или отладке стратегии ИТ-безопасности.

Очевидно, что использовать стандартное антивирусное решение тут недостаточно. Чтобы значительно снизить риск серьёзного ущерба для вашего бизнеса, вы должны реализовать многоуровневую систему. Хорошо знакомый рейтинг Стратегий противодействия от Управления радиотехнической обороны Австралии (ASD) конкретно указывает на необходимость комплексного подхода. Такой подход призван объединить административные, операционные и сетевые меры, а также специализированные технологические меры, касающиеся отдельных слоев вашей ИТ-инфраструктуры.

И, конечно, в случае серьёзного противника вроде BlackEnergy требуется использовать передовые технологии, подкреплённые надёжной экспертизой в сфере безопасности. Портфель решений «Лаборатории Касперского» помогает реализовать 19 из 35 предложенных ASD стратегий противодействия. И большинство из них можно задействовать при помощи одного многофункционального продукта — Kaspersky Endpoint Security для Бизнеса Расширенный.

Эта платформа безопасности обеспечивает не только набор передовых технологий обнаружения, но и дополнительные уровни защиты, включая Контроль безопасности и Оценку уязвимости/Управление исправлениями. Функции Контроля запуска программ, подкреплённые нашим облачным Dynamic Whitelisting и поддерживающие сценарий Запрета по умолчанию, в частности, особенно применимы в промышленном секторе и призваны предотвратить запуск ненадёжных приложений (в том числе вредоносных программ), сохраняя при этом рабочую среду неизменной. Такие функции управления на основе белых списков наряду с Контролем за уязвимостями/исправлениями значатся в числе первых четырёх стратегий противодействия, на счету которых предотвращение 85% инцидентов, связанных с направленными атаками.

С учётом привычки BlackEnergy использовать спиэрфишинг по электронной почте, развёртывание Kaspersky Security for Mail Server создаст дополнительный мощный барьер от инфекции. А обучение вашего персонала на тренингах Kaspersky Cybersecurity Awareness тому, что не следует открывать каждый интересный на вид документ, может защитить от огромного количества угроз, в том числе тех, которые представляют собой те самые заядлые разрушители.

Несмотря на всю изобретательность и опыт злоумышленников, проактивное планирование ИТ-стратегии информационной безопасности может обеспечить вам преимущество перед ними — с помощью всегда новаторских технологий кибербезопасности «Лаборатории Касперского».

Подробнее о BlackEnergy читайте в статье на Securelist.

Продукты «Лаборатории Касперского» обнаруживают компоненты BlackEnergy со следующими вердиктами:

  • Win32.Blakken
  • Win64.Blakken
  • Win32.Fonten
  • Heur:Trojan.Win32.Generic