Rosyjscy ambasadorzy podbijają świat, czyli nowy, groźny trojan
Eksperci z firmy ESET przechwycili groźnego konia trojańskiego BlackEnergy, którego ofiarą padło wiele firm i instytucji w Polsce i na Ukrainie. To co czyni wykryty atak ciekawym - pomijając aspekt obecnej sytuacji geopolitycznej - to wykorzystywanie wielu mechanizmów dotarcia do swoich ofiar.
Eksperci z firmy ESET przechwycili groźnego konia trojańskiego BlackEnergy, którego ofiarą padło wiele firm i instytucji w Polsce i na Ukrainie. To co czyni wykryty atak ciekawym - pomijając aspekt obecnej sytuacji geopolitycznej - to wykorzystywanie wielu mechanizmów dotarcia do swoich ofiar. Samo zagrożenie pozwala atakującemu m.in. na kradzież plików z zainfekowanego komputera czy zdalne uruchomienie dowolnego złośliwego kodu.
Jak podają eksperci ds. bezpieczeństwa ESET, wykryty atak bazuje na znanym już koniu trojańskim BlackEnergy, który od czasu pierwszego pojawienia się w sieci (200. r.) przeszedł sporą ewolucję. Atak z wykorzystaniem BlackEnergy jest tzw. atakiem targetowanym, wykorzystującym wiadomości email skierowane do konkretnych firm i instytucji. W ataku użyte zostały różne metody dotarcia do swoich ofiar: od wykorzystania luk w zainstalowanych na komputerze programach, przez wiadomości phishingowe z załączonymi zainfekowanymi plikami, a niekiedy wykorzystanie tych obu metod jednocześnie.
Rozsyłany jako załącznik do maila dokument tekstowy "Russian ambassadors to conquer world.doc" ("Rosyjscy ambasadorzy podbijają świat"), jest przynętą na nieostrożnego pracownika wziętej na cel firmy. Kliknięcie załącznika skutkuje wykorzystaniem luki w programie Microsoft Word oraz uruchomieniem BlackEnergy. Jednocześnie wyświetlony zostaje dokument o tytule „Rosyjscy ambasadorzy: następnie przejmiemy Katalonię i Wenecję, Szkocję i Alaskę”. W maju laboratorium ESET zidentyfikowało kolejny plik, który jest wykorzystywany w ataku do instalacji BlackEnergy –. to plik wykonywalny "список паролiв" (z języka ukraińskiego: ,"lista haseł"), którego ikona może sugerować, że jest to kolejny dokument tekstowy Word.
Eksperci zauważyli, że na przełomie sierpnia i września schemat ataku został zmodyfikowany. Do infekowania komputerów wykorzystywano również specjalnie spreparowany dokument PowerPoint, niezidentyfikowane luki w Javie, a także program Team Viewer, przeznaczony do zdalnego kontrolowania komputera.
Wykryty przez ekspertów firmy ESET atak dotknął szczególnie firmy na Ukrainie i w Polsce. Samo zagrożenie nie jest nowe, ale od momentu powstania BlackEnergy znacząco ewoluował. Początkowo trojan był zaprojektowany do ataków DDoS. Obecnie, dzięki modułowej architekturze, BlackEnergy stał się narzędziem, które cyberprzestępca może wykorzystać do rozsyłania spamu, oszustw bankowych czy kradzieży plików z zainfekowanego komputera. Eksperci z ESET podkreślają, że BlackEnergy nadal jest aktywny i stanowi zagrożenie, szczególnie dla firm i instytucji, nie tylko w Polsce i na Ukrainie.
