Eset-onderzoekers hebben sporen ontdekt van een cyberaanvaller die zich zou richten op spionage en verkenning. Eset denkt dat dit mogelijk in voorbereiding is op aanvallen van cybersabotage.

Deze aanvaller, door Eset benoemd als GreyEnergy, is een opvolger van de BlackEnergy APT-groep. Die groep terroriseert Oekraïne al jaren en veroorzaakte in december 2015 de eerste stroomstoring als gevolg van een cyberaanval. In die periode detecteerden Eset-onderzoekers een ander malwareframework en noemden het GreyEnergy.

"De afgelopen drie jaar hebben we gezien dat GreyEnergy betrokken was bij aanvallen op energiebedrijven en andere vitale doelen in Oekraïne en Polen", zegt Anton Cherepanov, die het onderzoek leidde.

NotPetya
GreyEenrgy is ook nauw verwant aan TeleBots, bekend om de wereldwijde uitbraak van NotPetya, de destructieve malware die de wereldwijde bedrijfsvoering in 2017 verstoorde en schade veroorzaakte in de orde van miljarden dollars.

In vergelijking met BlackEnergy is GreyEnergy een modernere toolkit met een nog grotere focus om verborgen te blijven. ESET-onderzoekers hebben aangetoond dat GreyEnergy de capaciteit heeft om volledige controle te krijgen over gehele bedrijfsnetwerken.

Een fundamentele stealth-techniek is om alleen geselecteerde modules naar geselecteerde doelwitten te sturen, en alleen wanneer dat nodig is. Bovendien zijn sommige GreyEnergy-modules gedeeltelijk versleuteld en blijven sommige modules fileless – alleen in het geheugen – met de intentie om analyse en detectie te belemmeren.

GreyEnergy-operators verbergen hun sporen door het veilig wissen van de malwarecomponenten van de harde schijven van de slachtoffers.

De modules beschreven in de analyse van ESET werden gebruikt voor spionage- en verkenningsdoeleinden en omvatten: backdoor, informatieverzameling, het maken van screenshots, keylogging, het bemachtigen van wachtwoorden en inloggegevens.

greyenergy infographics ESET