«Лаборатория Касперского»: русскоязычная кибергруппировка атакует украинцев через Word

0
150

«Лaбoрaтoрия Кaспeрскoгo» зaфиксирoвaлa рaнee нeизвeстный спoсoб aтaк русскoгoвoрящeй кибeргруппирoвки BlackEnergy – с испoльзoвaниeм Word-дoкумeнтoв. Кaк сooбщaeт прeсс-службa «Лaбoрaтoрии Кaспeрскoгo», экспeрты oбнaружили фишингoвую рaссылку, кoтoрaя, пoxoжe, испoльзoвaлaсь в aтaкax нa пoпулярный укрaинский тeлeкaнaл.

«Нeсмoтря нa тo чтo дeятeльнoсть этoй группирoвки уж давно получила широкую огласку, она остается весьма активной и представляет серьезную угрозу. Последние атаки в Украине показывают, подобно как BlackEnergy сконцентрирована на внедрении разрушительных вредоносных программ, нарушении работы промышленных систем управления и кибершпионаже», – говорится в сообщении компании.

С середины 2015 годы группировка BlackEnergy активно распространяет фишинговые письма с вредоносными Excel-вложениями, которые заражают компьютеры от макросы, а в январе 2016 года «Лаборатория Касперского» впервые обнаружила, что она тоже использует для этих целей вредоносные вложения Word.

Получая такой документ, абонент видит уведомление о необходимости подключить макрос для просмотра содержимого. Выполнение этой рекомендации приводит к запуску в системе «троянца» BlackEnergy. Активированная нате компьютере жертвы вредоносная программа посылает данные о зараженном устройстве на командный сервер, в томишко числе, скорее всего, и номер ID.

Документ, проанализированный «Лабораторией Касперского», содержит идентификатор 301018stb, идеже stb может означать украинский телеканал СТБ, который уже становился жертвой BlackEnergy в октябре 2015 лета.

В зараженную систему затем могут быть внедрены и другие вредоносные модули с различными функциями, ото кибершпионажа до уничтожения данных.

«Ранее BlackEnergy атаковала крупные предприятия в Украине с использованием Excel и PowerPoint-документов. Пишущий эти строки предполагали, что дело дойдет и до Word, и наши подозрения оправдались. Макросы в Word в сущности все чаще используются для проведения целевых атак. Например, недавно мы видели сие у группировки Turla. К сожалению, растущая популярность этого метода свидетельствует о его успешности», – отмечает Костин Райю, вождь Глобального центра исследований и анализа угроз «Лаборатории Касперского».

Группировка BlackEnergy попала в пласт зрения «Лаборатории Касперского» в 2014 году. Тогда она проводила атаки на энергетические компании и промышленные системы управления по мнению всему миру с использованием плагинов, нацеленных на SCADA-системы. Эксперты пришли к выводу, ровно особенно группировку интересуют соответствующие объекты в Украине, а также украинские госучреждения и СМИ. Изначально проводя целевые атаки с через DDoS-инструментов, позднее BlackEnergy расширила свой арсенал и осуществила в том числе прокос геополитических операций, например, атаки на несколько объектов критической инфраструктуры в Украине в конце 2015 годы.