I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno individuato GreyEnergy, una nuova minaccia utilizzata negli ultimi tre anni in attacchi a società energetiche e ad altri obiettivi di alto valore in Ucraina e Polonia. Riconducibile ai successori del gruppo BlackEnergy, questo attore di minacce si concentra sullo spionaggio e sulla ricognizione, probabilmente in preparazione di futuri attacchi di cyber sabotaggio.
GreyEnergy è comparso insieme a TeleBots ma a differenza del suo cugino più noto, non opera solo in Ucraina e finora non è stato pericoloso. Secondo l'analisi approfondita di ESET, il malware di GreyEnergy è strettamente legato a quello di BlackEnergy e di TeleBots.
È strutturato in maniera modulare, quindi le sue funzionalità dipendono dalla particolare combinazione dei moduli caricati dall'operatore nei sistemi della vittima. I moduli descritti nell'analisi di ESET sono stati utilizzati per scopi di spionaggio e ricognizione e comprendono backdoor, estrazione di file, acquisizione di schermate, keylogging, password, furto di credenziali ed altro ancora.
BlackEnergy ha terrorizzato l'Ucraina per anni ed è balzato agli onori della cronaca nel dicembre 2015 quando ha causato un blackout che ha lasciato 230mila persone senza elettricità, nel primo evento di questo tipo causato da un attacco informatico. Contemporaneamente al verificarsi di questo incidente rivoluzionario, i ricercatori di ESET hanno iniziato a rilevare un'altra struttura per la diffusione di malware e l'hanno chiamata GreyEnergy.
L'attacco del 2015 alle infrastrutture energetiche ucraine è l’ultima operazione conosciuta in cui è stato utilizzato il set di strumenti BlackEnergy. Successivamente, i ricercatori ESET hanno documentato un nuovo sottogruppo APT, TeleBots, famoso per la diffusione globale di NotPetya, il malware che cancella il disco e che ha interrotto le transazioni commerciali globali nel 2017, causando danni per miliardi di dollari USA.
I ricercatori di ESET hanno recentemente confermato che TeleBots era collegato anche all’Industroyer, il potente e innovativo malware che ha come obiettivo i sistemi di controllo industriale e che si è reso colpevole del secondo blackout elettrico nella capitale ucraina, Kiev, nel 2016.
La scoperta e l'analisi di GreyEnergy da parte di ESET è importante per una difesa efficace contro questo particolare attore di minacce e per una migliore comprensione delle tattiche, degli strumenti e delle procedure dei gruppi APT più avanzati.
I ricercatori di ESET, nella descrizione dei cyber attacchi, analizzano connessioni basate su indicatori tecnici quali similarità del codice, infrastruttura C & C condivisa, catene di esecuzione del malware e così via e non sono direttamente coinvolti nell’indagine e nell’identificazione delle persone che codificano il malware e/o che lo distribuiscono. Per questo ESET si astiene da speculazioni in merito all’attribuzione degli attacchi a particolari nazioni o enti governativi.