Ερευνητές ασφαλείας της Kaspersky Lab αποκάλυψαν νέες δυνατότητες στο BlackEnergy crimeware, το οποίο έχει πλέον την ικανότητα να διεισδύει σε routers και συστήματα Linux και Windows μέσω των συσκευών του δικτύου της Cisco.
Η Global Research & Analysis Team δημοσίευσε σχετκή αναφορά τη Δευτέρα στην οποία αναφέρονται λεπτομερώς ορισμένες από τις νέες “σχετικά άγνωστες” plug-in δυνατότητες που αναπτύχθηκαν ώστε το BlackEnergy να επιτεθεί σε συσκευές δικτύωσης της Cisco και να στοχεύσει τις ARM και MIPS πλατφόρμες.
Το κακόβουλο λογισμικό αναβαθμίστηκε με custom plugins συμπεριλαμβανομένου του Ciscoapi.tcl που στοχεύει το κιτ The Borg και σύμφωνα με τους ερευνητές, η αναβαθμισμένη έκδοση περιείχε διάφορα wrappers σε Cisco EXEC-εντολές καθώς και ένα μήνυμα για την Kaspersky, το οποίο λέει “F*uck U, Kaspersky!!! U never get a fresh B1ack En3rgy. So, thanks C1sco 1td for built-in backd00rs & 0-days”.
[alert variation=”alert-info”]Το BlackEnergy malware αρχικά δημιουργήθηκε και χρησιμοποιήθηκε από εγκληματίες του κυβερνοχώρου σε επιθέσεις τύπου Distributed Denial-of-Service (DdoS) και στη συνέχεια προστέθηκαν σε αυτό μερικά custom plugins που χρησιμοποιούνται για να διοχετεύσουν τραπεζικές πληροφορίες.[/alert]
Πιο πρόσφατα το BlackEnergy malware εντοπίστηκε στην υποτιθέμενη επίθεση με στόχο το ΝΑΤΟ, κυβερνητικές υπηρεσίες της Ουκρανίας και της Πολωνίας, καθώς και σε αρκετές ευαίσθητες ευρωπαϊκές βιομηχανίες κατά το τελευταίο έτος.
Τώρα, το κακόβουλο λογισμικό έχει ενισχυθεί και έχει δυνατότητες σάρωσης θυρών, κλοπής κωδικού πρόσβασης, συλλογής πληροφοριών συστήματος, κλοπής ψηφιακού πιστοποιητικού, απομακρυσμένης σύνδεση επιφάνειας εργασίας και διαγραφής δεδομένων ή καταστροφής σκληρού δίσκου.
Στην περίπτωση που το θύμα εντοπίσει το BlackEnergy στο σύστημά του, ο εισβολέας ενεργοποιεί το plugin “dstr,” που διαγράφει τα δεδομένα από τους σκληρούς δίσκους και τα αντικαθιστά με τυχαία δεδομένα ενώ μπορεί να επιτεθεί σε δεύτερο θύμα χρησιμοποιώντας τα διαπιστευτήρια VPN που συλλέγονται από το πρώτο θύμα.
Ωστόσο, οι ειδικοί δεν είναι βέβαιοι για το σκοπό κάποιων plugins, μεταξύ των οποίων αυτό που συγκεντρώνει πληροφορίες σχετικά με συνδεδεμένες μονάδες USB, και ένα άλλο που συλλέγει στοιχεία σχετικά με το BIOS (Basic Input / Output System), τη μητρική πλακέτα και τον επεξεργαστή των «μολυσμένων» συστημάτων.
“Είμαστε αρκετά σίγουροι ότι η λίστα μας με τα [BlackEnergy] εργαλεία δεν είναι πλήρης,” έγραψαν οι ερευνητές. “Για παράδειγμα, δεν έχουμε ακόμα αποκτήσει το plugin για την πρόσβαση στο router, αλλά είμαστε σίγουροι ότι υπάρχει.Υπάρχουν επίσης ενδείξεις ότι υπάρχει ένα plugin για την αποκρυπτογράφηση των αρχείων του θύματος”.
Πολλές ανώνυμες εταιρείες σε διάφορες χώρες έγιναν στόχοι με την τελευταία έκδοση του BlackEnergy malware, συμπεριλαμβανομένων των θυμάτων στη Ρωσία, τη Γερμανία, το Βέλγιο, την Τουρκία, τη Λιβύη, το Βιετνάμ και πολλές άλλες χώρες.
Μια άλλη ομάδα crimeware, η ομάδα Sandworm, φέρεται να έχει χρησιμοποιήσει το BlackEnergy αποκλειστικά κατά τη διάρκεια του 2014 συμπεριλαμβάνοντας και δικά τους plugins και scripts.
