Ve stejnou dobu se kyberzločinci zaměřili i na další distribuční elektrárenské společnosti na Ukrajině. K útoku použili malware, který je „na trhu“ k dispozici již delší dobu: BlackEnergy.
Analytici společnosti ESET zjistili, že trojan BlackEnergy byl v nedávné době použit jako backdoor k šíření destruktivní komponenty KillDisk při podobných útocích na ukrajinská média. V následujících řádcích si tento malware popíšeme trochu konkrétněji.
Po aktivaci některé z variant BlackEnergy dojde nejprve k ověření, že daný počítač opravdu splňuje zadaná kritéria a je vhodný k nákaze. Pokud ano, je do systému nainstalován regulérní BlackEnergy dropper. Konkrétní mechanismus je popsán v prezentaci na stránkách společnosti Virus Bulletin.
Malware BlackEnergy má uložena svá XML konfigurační data v jeho hlavní payload DLL knihovně.
Mimo seznam řídících serverů obsahuje konfigurační soubor i speciální hodnotu build_id. Jde o unikátní textový řetězec používaný k identifikaci jednotlivých malware kampaní a cílů.
Seznam, který společnost ESET identifikovala v roce 2015:
- 2015en
- khm10
- khelm
- 2015telsmi
- 2015ts
- 2015stb
- kiev_o
- brd2015
- 11131526kbp
- 02260517ee
- 03150618aaa
- 11131526trk
U většiny hodnot můžeme pouze spekulovat, jakou kampaň měly označovat, nicméně například oblast působnosti „kiev_o“ je celkem jasná.
Jak už bylo dříve zmíněno, BlackEnergy obsahuje komponentu KillDisk, která má za cíl poškodit data na počítači. Jednoduše přepíše definované soubory náhodnými daty a zajistí, že do operačního systému už nepůjde nabootovat.
První výskyt KillDisku byl zaznamenán v listopadu loňského roku na Ukrajině, kdy došlo k útokům na zpravodajská média v průběhu lokálních voleb. Během útoku došlo ke zničení velkého množství video materiálů a dokumentů. Kompletní seznam, na který se KillDisk zaměřil, obsahuje na 4000 koncovek souborů
Při útoku na elektrárenské společnosti už uměl KillDisk i něco jiného. Kromě výše uvedených činností obsahoval i přidanou funkci, která sabotovala průmyslové systémy.
Po aktivaci KillDisk hledá a ukončuje dva procesy, které nejsou standardní součástí operačního systému.
- komut.exe
- sec_service.exe
O prvním procesu se ESETu nepodařilo získat podrobnější informace, ale „sec_service.exe“ pravděpodobně patří k softwaru ASEM Ubiguity, který se často používá ke kontrole průmyslových systémů (ICS). V případě nalezení daného procesu, kromě jeho zastavení, dojde i k přepsání spustitelných souborů náhodnými daty. V reálu to tedy znamená naprostou imobilizaci daného počítače a při nakažení kritických systému přerušení dodávky elektrického proudu.
Společnost ESET tuto hrozbu ve svých produktech detekuje Win32/KillDisk.NBB, Win32/KillDisk.NBC and Win32/KillDisk.NBD.
Identifikátory nákazy:
IP adresy BlackEnergy C2-serverů:
5.149.254.114
5.9.32.230
31.210.111.154
88.198.25.92
146.0.74.7
188.40.8.72
XLS dokument se škodlivým makrem SHA-1:
AA67CA4FB712374F5301D1D2BAB0AC66107A4DF1
BlackEnergy Lite dropper SHA-1:
4C424D5C8CFEDF8D2164B9F833F7C631F94C5A4C
BlackEnergy Big dropper SHA-1:
896FCACFF6310BBE5335677E99E4C3D370F73D96
BlackEnergy drivery SHA-1:
069163E1FB606C6178E23066E0AC7B7F0E18506B
0B4BE96ADA3B54453BD37130087618EA90168D72
1A716BF5532C13FA0DC407D00ACDC4A457FA87CD
1A86F7EF10849DA7D36CA27D0C9B1D686768E177
1CBE4E22B034EE8EA8567E3F8EB9426B30D4AFFE
20901CC767055F29CA3B676550164A66F85E2A42
2C1260FD5CEAEF3B5CB11D702EDC4CDD1610C2ED
2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1
4BC2BBD1809C8B66EECD7C28AC319B948577DE7B
502BD7662A553397BBDCFA27B585D740A20C49FC
672F5F332A6303080D807200A7F258C8155C54AF
84248BC0AC1F2F42A41CFFFA70B21B347DDC70E9
A427B264C1BD2712D1178912753BAC051A7A2F6C
A9ACA6F541555619159640D3EBC570CDCDCE0A0D
B05E577E002C510E7AB11B996A1CD8FE8FDADA0C
BD87CF5B66E36506F1D6774FD40C2C92A196E278
BE319672A87D0DD1F055AD1221B6FFD8C226A6E2
C7E919622D6D8EA2491ED392A0F8457E4483EAE9
CD07036416B3A344A34F4571CE6A1DF3CBB5783F
D91E6BB091551E773B3933BE5985F91711D6AC3B
E1C2B28E6A35AEADB508C60A9D09AB7B1041AFB8
E40F0D402FDCBA6DD7467C1366D040B02A44628C
E5A2204F085C07250DA07D71CB4E48769328D7DC
KillDisk-komponenty SHA-1:
16F44FAC7E8BC94ECCD7AD9692E6665EF540EEC4
8AD6F88C5813C2B4CD7ABAB1D6C056D95D6AC569
6D6BA221DA5B1AE1E910BBEAA07BD44AFF26A7C0
F3E41EB94C4D72A98CD743BBB02D248F510AD925
VBS/Agent.AD trojan SHA-1:
72D0B326410E1D0705281FDE83CB7C33C67BC8CA
Win32/SSHBearDoor.A trojan SHA-1:
166D71C63D0EB609C4F77499112965DB7D9A51BB