Kaspersky Lab scopre la campagna di spear-phishing BlackEnergy che prende di mira le organizzazioni ucraine

redazione

BlackEnergy è un gruppo criminale altamente dinamico e gli ultimi attacchi in Ucraina dimostrano che le loro azioni distruttive sono all’ordine del giorno, insieme alla compromissione di installazioni per il controllo industriale e alle attività di cyber spionaggio. Inizialmente attivo nel DDoS, BlackEnergy si è espanso, aumentando la raccolta di tool. Questi ultimi sono stati utilizzati in varie attività di tipo APT, tra cui operazioni geopolitiche, come un’ondata di attacchi verso gli operatori di numerosi settori critici in Ucraina alla fine del 2015.

 

Nonostante sia stato scoperto diverse volte, BlackEnergy continua la sua attività e costituisce un pericolo significativo.

 

Fino a metà 2015, il gruppo APT BlackEnergy ha attivamente utilizzato email di spear-phishing contenenti file Excel nocivi con macro per infettare i computer del network preso di mira. Tuttavia, a gennaio di quest’anno, i ricercatori di Kaspersky Lab hanno scoperto un nuovo documento nocivo che infetta il sistema con un Trojan BlackEnergy. Contrariamente ai file Excel utilizzati nei precedenti attacchi, in questo caso si trattava di un documento Word.

 

Dopo aver aperto il documento, si presenta all’utente una finestra di dialogo che consiglia di abilitare le macro per vederne il contenuto. Abilitando le macro, si avvia l’infezione del malware BlackEnergy.

 

Una volta attivato nel computer della vittima, il malware invia informazioni base sulla macchina infettata al suo server di commando e controllo (C&C). Uno dei campi della connessione C&C inviato dal programma nocivo contiene una stringa che sembra riferirsi all’ID della vittima. Il documento analizzato dai ricercatori di Kaspersky Lab contiene l’identificatore “301018stb”, dove “stb” potrebbe riferirsi all’emittente televisiva ucraina “STB”, che è stata precedentemente elencata tra le vittime degli attacchi BlackEnergy Wiper a ottobre 2015.

 

In seguito all’infezione, possono venire scaricati ulteriori moduli nocivi. A seconda della versione del Trojan utilizzata, potrebbero cambiare le funzioni di questo ulteriore payload, che vanno dal cyber spionaggio alla cancellazione dei dati.

 

“In passato, abbiamo visto il gruppo BlackEnergy prendere di mira enti ucraini usando file Excel e PowerPoint. Ci attendevamo anche l’utilizzo di documenti Word e questa scoperta non fa che confermare i nostri sospetti. In generale, vediamo l’uso di documenti Word con macro diventare sempre più diffusi negli attacchi APT. Abbiamo ad esempio recentemente visto il gruppo APT Turla usare documenti con macro per lanciare attacchi simili. Crediamo quindi che molti di questi attacchi abbiano successo e che proprio per questo la loro popolarità sia cresciuta”, ha commentato Costin Raiu, Direttore del Global Research & Analysis Team di Kaspersky Lab.

 

Il gruppo APT BlackEnergy ha catturato l’attenzione di Kaspersky Lab già nel 2014, quando ha iniziato a sfruttare i plugin dei sistemi SCADA a danno delle vittime nei settori dell’ICS e dell’energia in tutto il mondo.

Crediamo quindi che questo gruppo sia particolarmente attivo nei seguenti settori:

·         ICS, Energia, enti governativi e media in Ucraina

·         Aziende ICS/SCADA in tutto il mondo

·         Aziende energetiche mondiali

 

Kaspersky Lab ha già parlato degli attacchi DDoS legati a BlackEnergy, oltre che dei loro payload nocivi, lo sfruttamento delle tecnologie Siemens e i plugin di attacco ai router. Sono disponibili ulteriori informazioni su questo e altri programmi nocivi su Securelist.com.