Nowe ataki na infrastrukturę krytyczną, z Polską na celowniku włamywaczy

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Oct 17 16:14 [raw]

Choć w Polsce nie doświadczyliśmy jeszcze skutków wyłączenia prądu czy wysadzenia rurociągu przez komputerowych włamywaczy, to nie znaczy, że sieci dostawców usług krytycznych nie są na celowniku hakerów. Ślady kolejnej grupy znaleziono także u nas. Zdalne powodowanie szkód na terytorium wroga, bez strat własnych, a często bez ujawniania własnej tożsamości, jest bez wątpienia marzeniem niejednego stratega. Dzięki wszechobecności sieci komputerowych i coraz dalej idącej komputeryzacji procesów przemysłowych te marzenia przynajmniej w pewnym zakresie stają się rzeczywistością. Następcy znanych aktorów Gdy w grudniu 2015 zgasły światła w tysiącach ukraińskich domów, ustalono, że w ataku tym użyto oprogramowania nazwanego przez badaczy BlackEnergy. Jego ślady znajdowano również w Polsce. Po tamtym ataku BlackEnergy przestało pojawiać się z wynikach analiz ataków – tak, jakby zrezygnowano z jego dalszej eksploatacji. Znalazło jednak godnego następcę. Firma ESET opublikowała właśnie raport, w którym opisuje obserwowane od dwóch lat złośliwe oprogramowanie nazwane GreyEnergy. Zawiera ono dużo podobieństw do BlackEnergy, a grupa go używająca prawdopodobnie powiązana jest z grupą TeleBots, stojącą między innymi za atakiem NotPetya. ESET informuje, że po raz pierwszy na ślad unikatowego narzędzia GreyEnergy natrafił w grudniu 2015 w Polsce. To właśnie nasz kraj, obok Ukrainy, znajduje się na liście najczęściej spotykanych celów ataków tego oprogramowania. W przeciwieństwie do Industroyera, innego narzędzia wywodzącego się z podobnej okolicy, GreyEnergy nie posiada modułów umożliwiających interakcję z systemami sterowania przemysłowego. Analitycy z firmy ESET zauważyli jednak użycie innego niebezpiecznego modułu, służącego do niszczenia zawartości dysków ofiary w celu zatarcia śladów. Technikalia GreyEnergy dostarczany jest na dwa różne sposoby. Oprócz prostego, klasycznego spear phishingu, przestępcy czasami włamują się do aplikacji na serwerach WWW firm leżących w kręgu ich zainteresowania, a następnie wykorzystują uzyskany dostęp, by przedostać się sieci wewnętrznej ofiary. Z reguły pierwszym etapem infekcji jest oprogramowanie „GreyEnergy mini”, niewymagające uprawnień administratora i pozwalające na utrzymanie dostępu do zaatakowanej sieci. To proste narzędzie zbiera informacje o ofierze, takie jak nazwa komputera, wersja systemu operacyjnego, ustawienia językowe, nazwa użytkownika, uprawnienia użytkownika, ustawienia serwera proxy, informacje o modelu i producencie komputera, strefie czasowej, zainstalowanym oprogramowaniu typu antywirus lub firewall, lista użytkowników i domen, adres IP i lista działających procesów. Zebrane dane przekazywane są do serwera sterującego. GreyEnergy mini obsługuje tylko kilka prostych poleceń – pobieranie, uruchamianie plików, uruchamianie poleceń, upload wybranego pliku i odinstalowanie się. W kolejnym kroku przestępcy inwentaryzują sieć wewnętrzną i zbierają hasła przydatne do podniesienia uprawnień. Grupa korzysta w tym celu ze standardowych narzędzi, takich jak nmap czy Mimikatz. W kolejnym kroku w sieci instalowany jest właściwy koń trojański, GreyEnergy, wymagający uprawnień administracyjnych. Najczęściej instalowany jest on na serwerach z dużym uptimem (rzadko restartowanych) lub na stacjach roboczych używanych do sterowania procesami przemysłowymi. W jednym z przypadków badacze ESET-u odkryli próbkę głównego modułu podpisaną prawidłowym certyfikatem firmy Advantech. Certyfikat ten najprawdopodobniej został skradziony jego właścicielowi. GreyEnergy może być uruchamiany zarówno w postaci procesu obecnego jedynie w pamięci komputera (używane na serwerach, które są rzadko restartowane), jak i jako usługa w pliku DLL. Komunikacja z serwerem C&C realizowana jest za pośrednictwem wewnętrznego serwera proxy. Jedna z zainfekowanych maszyn zbiera komunikację z pozostałych stacji lub serwerów wewnątrz sieci ofiary i przesyła do serwera sterującego w internecie. W ten sposób minimalizowana jest liczba komputerów wysyłających pakiety poza sieć ofiary. W przypadku gdy firma posiada serwery WWW podłączone do sieci wewnętrznej, instalowane są na nich zapasowe tylne furtki, najczęściej w postaci prostych skryptów umożliwiających włamywaczom relatywnie prosty powrót do sieci ofiary w razie usunięcia głównej tylnej furtki. Co ciekawe, wszystkie serwery C&C przestępców są jednocześnie serwerami sieci Tor. Prawdopodobnie ma to na celu lepsze ukrycie źródła połączeń przychodzących od osób zarządzających tymi serwerami. Główny moduł regularnie sprawdza możliwość komunikacji z serwerem C&C. Jeśli określona w pliku konfiguracyjnym liczba nieudanych połączeń zostanie osiągnięta (lub minie określony w konfiguracji czas od ostatniego udanego połączenia), cały koń trojański sam usuwa się z dysku ofiary. Oprócz głównego modułu badacze odkryli także wiele modułów pomocniczych. Mogą one służyć do wstrzykiwania plików PE do procesów, zbierania informacji o zarażonym komputerze, robienia zrzutów ekranu i zapisywania naciskanych klawiszy, zbierania zapisanych haseł, tworzenia tuneli SSH czy serwerów proxy oraz zbierania haseł użytkowników systemu Windows. Podsumowanie Opisywane narzędzia używane są przez wysokiej klasy fachowców, którzy nie raz pokazali już, że zależy im na wywołaniu spektakularnych efektów. Nie należy ich zatem lekceważyć. W raporcie ESET-u znajdziecie liczne informacje o skrótach plików, adresach IP i nazwach domenowych, pod kątem których warto sprawdzić logi swoich SIEM-ów. Pamiętajcie także, że można natrafić na fałszywe trafienia, ponieważ serwery C&C były także serwerami sieci Tor. Życzymy Wam braku trafień przy wyszukiwaniu.

[chan] po_polsku
BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y

Subject Last Count
NAT Jan 22 18:46 8
JEBAĆ KURWE - POLICJE Jan 22 18:04 26
POMYSŁ na ZABAWE ? CZY to jest ZAMACH TERORYSTYCZNY ? Jan 22 15:09 2
Zapowiedź tego, co będzie. Jan 22 14:56 1
Pomysł na zabawe - zamach terorystyczny ? Jan 22 14:05 34
DZIĘKUJEMY DUDACZEWSKIEMU: JAK SKW - OBCIAGA KUTASA . :) Jan 22 14:04 1
JAK SKW - OBCIAGA KUTASA . :) Jan 22 13:53 82
WRÓŻBA Jan 22 11:54 1
Nowa, nieznana dotąd jakość. Jan 22 11:42 1
SKW OBCIĄGA KUTASA Jan 22 11:39 2
JAK SKW OBCIAGA KUTASA :) Jan 22 11:35 66
(no subject) Jan 21 22:39 3
BM POP3 SMTP Jan 21 21:44 5
Chiny klękają Jan 21 12:20 1
Dewianci z CNN Jan 21 12:16 1
Polowanie na Żyda Andruszkiewicza Jan 21 12:14 1
Jade wczoraj pociagiem do domu na weekend i slysze jak za plecami siedza sobie 4 loszki i tak gadaja: Jan 20 18:08 3
W tym działaniu każdy z Was musi być dla siebie dowódcą Jan 20 08:19 1
Anaktam Pastam Paspasim Dionsim Jan 19 22:12 1
Mity o sieci I2P Jan 19 21:17 4
wiele dodatkowych eksperymentów Jan 19 19:12 1
RE: Zapraszamy na polskie forum wywrotowe Jan 19 14:32 1
Bardzo aktywizują się roszczeniowe środowiska żydowskie Jan 19 14:27 1
OPERACJA Jan 19 14:27 1
DZIAŁANIE Jan 19 14:23 1
chetni do podsieci Jan 19 14:00 2
EFEKT Jan 19 09:52 1
PROCES Jan 19 09:52 1
Barbara Nowacka i jej mikroskopijna organizacja Jan 19 08:21 1
zniknął nieoczekiwanie temat imigracji Jan 19 08:21 1
Czy jesteśmy Polakami … Jan 19 08:05 1
knownnodes Jan 19 07:21 5
дезинформация Jan 19 00:49 1
Dear polish bitmessage users on Android, help me please ! Jan 19 00:38 3
czy jest jeszcze w sieci takie forum jak była Cebulka Jan 18 22:08 65
Kto go odwiedzał spoza zakładu karnego na tzw. widzeniach ? Jan 18 21:26 2
Przeciwko PiS protestują żałosne pijaczki Jan 18 20:12 1
rzygać się chce od tej cebuli Jan 18 20:11 10
czy to spotkanie rzeczywiście ktoś zainspirował Jan 18 12:58 1
Zaostrzenie cenzury Jan 18 12:33 2
Kiedy pojawiły się pierwsze doniesienia medialne o tragedii? Jan 18 09:42 3
spacer Jan 18 09:30 8
Lecha nie ma, ale został ten drugi Jan 18 07:48 2
Odśmiecanie Facebooka z dezinformacji Jan 17 18:18 1
pedałki w rządzie Jan 17 16:18 2
FUN Jan 17 14:49 1
Szpiegowska siatka Chin w Polsce Jan 17 14:33 1
Pracują grupy operacyjne, złożone z pracowników Ministerstwa Jan 17 14:28 1
Ruscy i Szwaby próbują poróżnić Polskę i Ukrainę Jan 17 11:49 1
Możecie przetestować anonimowość swoich VPNów i Torka, dziubki :) Jan 17 11:46 1
Dziękujemy wam, debile antyszczepionkowcy! Jan 16 19:25 1
temat kiboli Jan 16 13:39 1
Polska Rzeczpospolita Bananowa im. Adamowicza Jan 16 12:11 1
Rząd powinien zrezygnować z Huawei Jan 15 19:02 1
Ponad połowa Rosjan chce dymisji rządu Jan 15 16:57 1
Ty chamie, polski chamie! Jan 15 15:31 1
Paweł "Santo Subito" Adamowicz i jego brudne sprawki Jan 15 15:31 1
B.L.O.S. Jan 15 15:11 1
Remington 760 sprzedany Jan 15 13:27 1
Gangsterskie porachunki w Gdańsku: złodziej wsadził kosę złodziejowi Jan 15 13:20 5
Sprzątanie Polski z chińskich gówien z backdoorami Jan 14 19:32 1
Dobre wiadomości dla Polski i Gdańska! Jan 14 15:49 4
Tak naprawdę to PRL nigdy się nie skończył Jan 14 15:21 1
Czy tamte zastrzelone dziki były gorsze? Jan 14 15:16 1
Brudziński grozi internautom. Pokażmy mu kto jest silniejszy! Jan 14 12:35 1
Polski rząd rozważa rezygnację z urządzeń mobilnych chińskich marek Jan 14 12:35 1
Obecność w Polsce bazy wojsk USA wzmocni bezpieczeństwo w całym regionie Jan 14 12:20 1
Pijani piloci, brzoza i „Pierwszy Pasażer” Jan 13 18:53 1
Ludzie odchodzą, środowisko pozostaje. Jan 13 18:49 1
Zsowietyzowane Szwaby wzięte za mordy przez USA Jan 13 17:24 1
Huawei is a Chinese intelligence front Jan 13 14:47 1
Niemieckie służby atakują Michała Rachonia Jan 13 11:36 1
Sprzedam Remington 760 Jan 13 10:42 1
Za wszelką cenę chcą zablokować polską inwestycję Jan 13 10:37 1
Firma Huawei powinna zostać wykluczona z polskiego rynku Jan 13 01:49 2
UWAGA: Wrogowie Polski próbują wymusić wprowadzenie euro! Jan 13 01:49 2
Brudasy gwałcą dziewczynki Jan 12 23:21 1
Ataki nożowników są w Niemczech coraz częstsze. Jan 12 23:21 1
Ruska dziwka Krzysztof Bosak chciałby szkody dla Polski Jan 12 20:57 1
PISowskie debile łatwe do manipulacji Jan 12 16:34 5
Komisja Burdenki i kłamstwo katyńskie Jan 12 09:28 1
W momencie zagrożenia życia należy zadzwonić Jan 11 21:39 3
Czym jest UE? Jan 11 21:39 1
Ruska agentura szczeka na Andruszkiewicza Jan 11 20:51 1
Monaro router kovri (i2p) Jan 11 19:46 1
Nowe materiały ws. zabójstwa ks. Jerzego Popiełuszki Jan 11 19:34 1
Zapraszamy na polskie forum wywrotowe Jan 11 19:10 4
Nie cierpię propagandy Jan 11 18:56 2
gowno p2p Jan 11 18:37 8
Uprawiałam seks z Murzynem Jan 11 17:35 1
Pijaczek Kukiz i dziadunio Korwin Jan 11 17:35 1
Kelebija-Tompa i Horgosz-Roeszke Jan 11 17:21 1
Ruskie zielone ludzki a Afryce Jan 10 18:50 1
Zboczeńcy zagrażają naszym dzieciom Jan 10 18:44 1
sprawdzony kod Jan 10 17:00 6
Elysium is back! Jan 10 12:19 2
UWAGA: Osłabienie Tora na życzenie służb dodane w najnowszej wersji! Jan 9 15:30 1
polityczne akty zgonu Jan 9 14:49 1
kto zawiadamia o przestępstwie, wiedząc, że przestępstwa nie popełniono, podlega karze od grzywny do dwóch lat więzienia Jan 9 14:49 1
Porywacze domagają się 9 mln euro w wirtualnej kryptowalucie monero Jan 9 14:43 1