Новая группа угрозы под названием GreyEnergy исследователями безопасности в ESET была разоблачена как самый вероятный преемник BlackEnergy, СПОСОБНОЙ группы, которая была позади самого первого засвидетельствованного затемнения в 2015, вызванного кибератакой в Украине.

Согласно анализу ESET нового кибершпионского поведения группы и набора инструментов, они были нацелены на множество целей по всей Европе, сосредотачиваясь на системах промышленного контроля, которые, как известно, были частью критической инфраструктуры.

Кроме того, GreyEnergy «отражает и улучшает уже сложные методы, используемые в отключениях электричества энергосистемы Украины, и имеет потенциал, чтобы распространиться во всем мире».

ESET сначала удалось найти следы вредоносного набора инструментов GreyEnergy используемыми во время нападений на польскую энергетическую компанию в 2015, в то время как BlackEnergy был все еще активен и прямо прежде чем это вызвало украинское основанное на кибератаке затемнение, которое затронуло приблизительно 230 000 человек.

Кроме того, GreyEnergy, как также находили, был позади начального развертывания предшественника NotPetya (названный Охотник за луной Петя), который, в свою очередь, был вариантом программы-вымогателя Пети с добавленной способностью размножения использования пропущенного NSA деяния EternalBlue.

Хотя актеры позади GreyEnergy приложили все усилия, чтобы остаться незамеченными, так как их первое выступление в 2015, вредоносный набор инструментов группы угрозы также наблюдался в действии во время нападений на несколько украинских целей.

Методы проникновения GreyEnergy подобны тем используемым BlackEnergy, но с более современным набором инструментов и вниманием на тайность

«Вредоносная структура GreyEnergy имеет много общих черт BlackEnergy, как обрисовано в общих чертах ниже. Это столь же модульное в строительстве, таким образом, его функциональность зависит от конкретной комбинации модулей, его оператор загружает на каждую из целенаправленных систем жертвы», указывает ESET.

Кроме того, GreyEnergy способен к развертыванию вредоносных модулей, разработанных, чтобы выполнить широкий спектр задач от экс-фильтрации данных и keylogging к установке черных ходов и краже верительных грамот.

Хотя GreyEnergy, СПОСОБНАЯ группа, как еще наблюдали, непосредственно не напала на Industrial Control Systems (ICS), они были засвидетельствованы, напав на серверы SCADA и программное обеспечение, которые работают на станциях ICS, компоненты, проектировал, чтобы бежать круглосуточно, потому что они связаны с системами для решения ответственных задач.

В отличие от BlackEnergy, новая группа угрозы использует более современные инструменты, сосредоточенные на тайности, и это развертывает fileless вредоносные модули (в памяти) на целенаправленных машинах , чтобы сделать обнаружение максимально трудно.

GreyEnergy был также связан с подгруппой угрозы TeleBots, актерами позади DiskCoder. C вспышка программы-вымогателя, с основным кодексом от Охотника за луной Пети, снова используемого, чтобы развивать червя NotPetya.

Полное описание недавно открытой СПОСОБНОЙ группы GreyEnergy доступно в GreyEnergy ESET: преемник отчета BlackEnergy и списка всех имел отношение , Indicators of Compromise (IoC) доступен на «GreyEnergy — Indicators of Compromise» страница GitHub.