Beveiliging onderzoekers vinden solide bewijs dat Industroyer te NotPetya

0
12

Nul

Malware-analisten van slowaakse cyber-security bedrijf ESET hebben gevonden substantieel bewijs dat links cyber-aanvallen uitgevoerd tegen Oekraïne elektriciteitsnet tot dezelfde groep achter de NotPetya ransomware uitbraak van juni 2017.

De link is niet rechtstreeks, maar via een derde malware spanning die werd gespot in een los van het hacken van de werking in April van dit jaar.

Onderzoekers zeggen dat deze malware –de Exaramel achterdeur– werd ingezet vanaf de server infrastructuur van Telebots, de naam van de groep waarvan de infrastructuur van de NotPetya ransomware ook is ontstaan.

Maar in een rapport dat vandaag werd vrijgegeven na maanden van analyse, ESET, zegt de Exaramel achterdeur “is een verbeterde versie” van de backdoor component die onderdeel was van Industroyer, een malware-stam die doelen industriële controle systemen (ICS) en dat was de oorzaak van stroomstoringen in Oekraïne in December 2016.

Dergelijke links zijn gespeculeerd, maar nooit bewezen, met stevige feiten. Maar dankzij de nieuwe Exaramel ontdekking, deze verbindingen zijn nu mogelijk, ESET zei.

Hieronder is een afbeelding van wat ESET onderzoekers waren in staat te schrijven aan de TeleBots groep, waarvan ze denken dat het een evolutie van de BlackEnergy groep die ook aangevallen Oekraïne elektriciteitsnet een jaar voordat Industroyer, in December 2015.

code-connections.png
ESET

Rekening houdend met een multi-sourced rapport van juli 2017 die gekoppeld NotPetya met de BlackEnergy aanvallen, kan men gerust zeggen dat dezelfde bedreiging van de acteur is er achter de aanslagen vermeld in de bovenstaande afbeelding.

ESET ‘ s ontdekking komt op het juiste moment om feitelijke en technische bewijs van de recente beschuldigingen van Westerse overheden.

In februari van dit jaar, al Vijf Ogen regeringen Rusland beschuldigd van het orkestreren van de NotPetya ransomware uitbraak.

Eerder deze maand, het verenigd koninkrijk en Australië hebben afgegeven verklaringen beschuldigt Rusland de Belangrijkste Intelligence Directoraat (GRU), de militaire inlichtingendienst van de russische strijdkrachten, van een veelheid van cyber-aanvallen.

Deze verklaringen zei dat Rusland ‘ s GRU achter een serie cyber-spionage groepen en het hacken van de activiteiten. Onder de namen vermeld in het verslag zijn de Zandworm en BlackEnergy, twee namen die zijn gebruikt als alternatieven voor TeleBots in talrijke rapporten van de privé-cyber-security-industrie.

Wanneer de eerste berichten waren verschenen over Industroyer ICS malware in juni 2017, ESET onderzoekers spreken om deze verslaggever, specifiek bleef weg van speculatie en het maken van een formele verwijzing naar een specifiek land.

Ze had niet een formele toekenning van TeleBots als een russische staat-hacking-operatie in het verslag van vandaag, maar ze hoeven dat niet te doen als de officiële regering verklaringen hebben dat al gedaan.

Hun onderzoek nu een back-up van een aantal van de wat we hebben gelezen in de regering rapporten en het gehoor van de overheid woordvoerders –dat Rusland gemaakt op maat gemaakt malware te richten Oekraïne elektriciteitsnet in 2015 en 2016, en later geïmplementeerd NotPetya ransomware tegen oekraïense bedrijven, als onderdeel van de vijandelijkheden tussen de twee landen na de russische annexatie van de Krim en Rusland de steun van pro-russische rebellen in de Oekraïne, in de westelijke regio ‘ s.

Sprekend op een persconferentie bijgewoond door een ZDNet reporter eerder dit jaar, een van de ESET-malware-analisten die geanalyseerd Industroyer noemde het de enige malware in het bestaan wat “speciaal ontworpen om een aanval op de power grid” en “de meest verfijnde, de grootste bedreiging voor industriële controle systemen, omdat het Stuxnet-virus.”

De oorspronkelijke 2017 rapporten op Industroyer de mogelijkheden zijn beschikbaar van ESET en Dragos [Industroyer is bedoeld als CrashOverride]. ESET ‘ s meest recente onderzoek op het Exaramel backdoor die banden Industroyer te NotPetya en de TeleBots groep is hier beschikbaar.

VERWANTE DEKKING:

Ministerie van justitie legt uit recente golf van cyber-spionage-gerelateerde aanklachtenArrestatie van de Chinese top van de inlichtingendienst vonken angsten van nieuwe Chinese hacken inspanningenGoogle geweld kunnen G Suite waarschuwingen voor de overheid gesteunde aanvallenDHS de hoogte van lopende APT-aanvallen op cloud service providersTwitter bans verdeling van de gehackte materialen voor ONS de tussentijdse verkiezingende inspanningen van Microsoft voor een Digitale Conventie van Genève gang te krijgenBRITSE Conservatieve Partij conferentie app lekken MPs de persoonsgegevens van deAMERIKAANSE regering rolt uit 2 stappen voor .gov domein eigenarenGoogle dit getest security-app met de activisten in Venezuela. Nu kunt u het ook gebruiken CNETApple vertelt het Congres het was nooit gehackt door een Chinese spion chips CNETNoord-Korea is waarschijnlijk underwriting cyberaanvallen door de mijnbouw Monero TechRepublic

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters

0