Une nouvelle famille de malwares infecte des équipements en Ukraine et en Pologne. Elle est techniquement liée à BlackEnergy, Industroyer et NotPetya qui ont déjà provoqué par la passé des blackouts électriques et du sabotage informatique.
Fin 2015, les hackers du groupe BlackEnergy étaient les premiers à saboter une infrastructure publique, en plongeant plus d’un million d’Ukrainiens dans le noir. Fin 2016, ils récidivent en utilisant le malware Industroyer, qui partage du code avec les outils de BlackEnergy. Ces hackers, que bon nombre d’experts associent aux services russes, continuent de tisser leur toile avec de nouveaux outils encore plus perfectionnés.
Les chercheurs en sécurité d’Eset viennent ainsi de révéler l’existence de GreyEnergy, un ensemble de malwares et de techniques utilisés pour espionner des équipements industriels, en particulier ceux du secteur énergétique. « Durant les trois dernières années, nous avons observé les hackers de GreyEnergy attaquer des entreprises de l’energie et d’autres cibles hautement sensibles en Ukraine et en Pologne », explique Anton Cherepanov, chercheur en sécurité chez Eset.
GreyEnergy est, pour l’instant, une campagne d’espionnage. Les malwares utilisés permettent aux hackers d’extraire des fichiers, d’effectuer des captures d’écran, d’intercepter les frappes de clavier, de voler des mots de passe, etc. Les systèmes ciblés sont les stations de contrôle qui permettent de piloter les logiciels et les serveurs SCADA utilisés par les infrastructures industrielles.
La grande différence, c’est que GreyEnergy est beaucoup plus discret. Les hackers font attention à ne télécharger que les modules strictement nécessaires. Certains de ces modules sont chiffrés en AES 256 bit, d’autres encore ne se chargent qu’en mémoire vive.
Ce qui leur permet de ne laisser aucune trace sur le disque de l’ordinateur ciblé (« fileless »). Le fait d’utiliser des serveurs proxies permet également de limiter les traces suspectes, car les stations de contrôle piratées communiquent de prime abord avec des équipements internes. Ce qui peut sembler normal.
Usurpation d’identité
Les hackers de GreyEnergy camouflent par ailleurs certains malwares avec des signatures électroniques provenant du fournisseur taïwanais Advantech, très présent dans le domaine industriel. « C’est une méthode similaire à celle utilisée dans la célèbre attaque Stuxnet », souligne Robert Lipovsky, un autre chercheur d’Eset qui a participé à cette découverte.
Autre détail intéressant : à partir du moment où GreyEnergy apparaît sur le radar d’Eset, c’est silence radio du côté de BlackEnergy. Ce qui fait dire aux chercheurs que GreyEnergy est, d’une certaine manière, le successeur de BlackEnergy, avec à la clé de nouveaux outils plus perfectionnés.
Le groupe GreyEnergy est également lié au groupe Telebots, qui a été responsable de la diffusion du ver NotPeya, un pseudo-ransomware dont le but était de saboter des entreprises opérant en Ukraine. En effet, un échantillon de malware de GreyEnergy trouvé en décembre 2016 contenait du code qui était ensuite utilisé pour créer NotPetya.
Source : Cette information et actualité qui a suscité notre intérêt, a été publiée sur le site pirateinformatique.fr que nous remercions. il nous a semblé pertinent de vous en faire profiter.