BlackEnergy — Вікіпедія

BlackEnergy (буквально: укр. чорна енергія) — троян, вперше виявлений в 2007 році на ринку шкідливих програм серед російських хакерів^[1]. Перша версія BlackEnergy була порівняно простим набором інструментів для створення мереж ботів для здійснення розподілених атак на відмову обслуговування. За час існування трояну було створено іще дві версії, які набули нових, потужніших можливостей, що дозволяють застосовувати його для атак типу розвиненої сталої загрози^[1][2][3]. Так, в 2010 році була виявлена друга версія трояну, BlackEnergy 2, яка вже могла підключати модулі з додатковими можливостями: передача вкрадених даних на сервери зловмисників, стеження за мережевим трафіком, тощо^[3]. В 2014 році була виявлена третя версія^[2].

Зараження системи відбувається із використанням вразливості в механізмі OLE операційної системи Microsoft Windows через документи Microsoft Office, зокрема, вразливості, відомої як CVE-2014-4114^[4][3].

Саме третя версія трояну, BlackEnergy 3, була використана для здійснення першої у світі підтвердженої атаки на виведення з ладу енергосистеми: російським зловмисникам 23 грудня 2015 року вдалось успішно атакувати комп'ютерні системи управління в диспетчерській «Прикарпаттяобленерго», було вимкнено майже 30 підстанцій, близько 230 тисяч мешканців залишались без світла протягом однієї-шести годин^[5].

Історія[ред. | ред. код]

Кожна нова версія є майже повністю переробленою версією попередньої версії.

BlackEnergy 2[ред. | ред. код]

В 2010 році була виявлена наступна, друга версія трояну — BlackEnergy 2. Нова версія стала майже повною переробкою попередньою, в реалізації з'явився професійний підхід. Наприклад, у пакету інструментів з'явилась проста програма установки^[2].

Разом зі зростанням популярності BlackEnergy 2 розробники вирішили, що троян треба поліпшити, зробивши його модульним. В 2011 році троян отримав здатність обходити контроль за обліковими записами (англ. User Account Control) при інсталяції. Цей метод допоміг BlackEnergy 2 отримувати додаткові права для виконання свого коду. В 2013 році був виявлений варіант BlackEnergy 2 з підтримкою 64-бітних драйверів^[2].

Дослідники фірми F-Secure пов'язують троян BlackEnergy з угрупуванням кіберзлочинців, яке вони називають англ. Quedagh^[1]. Інші дослідники називають це угрупування англ. Sandworm (через досить часті цитати з Дюни)^[6].

Дослідники фірми Sentinel One припускають, що одна й та сама група могла застосувати BlackEnergy для кібератаки проти Естонії в 2007 році та для кібератаки на промислові системи керування «Прикарпаттяобленерго»^[3].

BlackEnergy 3[ред. | ред. код]

У другу чверть 2014 року, дослідники F-Secure вперше повідомили про виявлення нової версії трояну BlackEnergy. BlackEnergy 3 вже не має багатьох особливостей попередньої версії^[2].

Ця версія має іще більше можливостей, та іще якіснішу реалізацію. Новий реліз не має драйвера, ідентифікатор збірки (англ. build ID) має формат часу, та в цілому троян отримав декілька механізмів самозахисту: захист від запуску у віртуальному середовищі, захист від зневаджувачів, розміщені по всьому коду трояна перевірки наявності інших систем комп'ютерної безпеки (антивіруси, тощо) у середовищі виконання. Третя версія також відрізняється наявністю широкого кола модулів^[2]:

• fs.dll — операції з файловою системою
• si.dll — збирання інформації про систему, «BlackEnergy Lite»
• jn.dll — встановлення шкідливих програм
• ki.dll — запис натиснених клавіш клавіатури
• ps.dll — викрадення паролів
• ss.dll — зняття знімків екрану
• vs.dll — дослідження комп'ютерної мережі, віддалений запуск програм
• tv.dll — перегляд груп користувачів
• rd.dll — спрощений варіант псевдо «віддаленого керування стільницею» (англ. remote desktop)
• up.dll — оновлення шкідливих програм
• dc.dll — перелік облікових записів операційної системи
• bs.dll — отримання даних про апаратне забезпечення, BIOS, операційну систему Windows
• dstr.dll — знищення системи
• scan.dll — сканування мережі

Такий набір стандартної функціональності істотно відрізняється від Стакснет, для створення якого розробникам знадобились глибокі знання предметної галузі^[2].

Модуль збирання інформації (si.dll)[ред. | ред. код]

Модуль збирання інформації про систему (si.dll) збирає та відправляє на сервер зловмисникам, зокрема, такі дані^[1]:

• налаштування системи (отримані від systeminfo.exe)
• версія операційної системи
• права облікових записів
• поточний час
• час безперервної роботи
• час перебування в режимі простою
• налаштування доступу до проксі-сервера
• встановлене програмне забезпечення (отримується із реєстру системи деінсталяції)
• перелік запущених процесів (отримані від tasklist.exe)
• налаштування IP (отримані від ipconfig.exe)
• відкриті підключення через мережу (отримані від netstat.exe)
• таблиці маршрутизації (отримані від route.exe)
• traceroute та ping запитів до серверів Google (отримані від tracert.exe та ping.exe)
• встановлені поштові клієнти, веббраузери, програми обміну повідомленнями
• інформація про облікові записи та паролі поштових клієнтів The Bat!
• збережені облікові записи та паролі до них в менеджері паролів Mozilla для таких програм:
  • Thunderbird
  • Firefox
  • SeaMonkey
  • IceDragon
• збережені облікові записи та паролі до них в менеджері паролів Google Chrome для таких програм:
  • Google Chrome
  • Chromium
  • Comodo Dragon
  • Xpom
  • Nichrome
  • QIP Surf
  • Torch
  • YandexBrowser
  • Opera
  • Sleipnir
• збережені облікові записи та паролі до них в Microsoft Outlook та Outlook Express
• версія встановленого веббраузера Internet Explorer та збережені дані про облікові записи
• збережені облікові записи та паролі до них в Windows Credential Store:
  • Live
  • Remote Desktop
  • інші облікові записи (Microsoft_, WinInet_, тощо)

Принцип дії[ред. | ред. код]

Троян BlackEnergy може бути поширений декількома шляхами (векторами атаки), зокрема:

• запуск програми установки трояна в результаті введення користувача в оману або іншою програмою. Поширена назва інсталятора трояна BlackEnergy — msiexec.exe, що має іще більше заплутати недосвідченого користувача.
• установка трояна може бути запущена інфікованими документами^[1].

Дослідники фірми F-Secure змогли виявити дві «нормальні», «корисні» програми, які, тим не менш, встановлюють троян BlackEnergy. Такий спосіб досить ефективний, оскільки звичайний користувач не завжди здатен помітити, що разом із встановленням корисної програми він інфікує свій комп'ютер комп’ютерним вірусом чи трояном^[1].

Деякі старіші версії трояну мали програму установки з назвою regedt32.exe (назва стандартного редактора реєстру Windows), яку запускали інфіковані документи. При цьому, інфіковані документи покладались на вразливості програмного забезпечення, зокрема, CVE-2010-3333^[7][1].

Програма установки трояна BlackEnergy 3 може мати назву msiexec.exe. Аби приховати свою роботу від користувача, інсталятор може відкривати на весь екран якийсь документ^[1].

Також були виявлені програми установки трояну, які вдають із себе програми установки Adobe Flash Player^[1].

Поширення трояну через інфіковані документи покладається на вразливості механізму OLE. Механізм OLE глибоко інтегрований в комплект програм Microsoft Office. Через свою гнучкість та складність реалізації OLE мають деякі вразливості^[3].

Так, наприклад, завдяки OLE редактори отримали можливість вбудовувати скрипти Visual Basic в документи, які запускаються при відкритті документів. Ця можливість стала одразу поширеною серед зловмисників. Microsoft, натомість, запровадила певні механізми захисту від несанкціанованого запуску шкідливого коду: наприклад, користувачі отримали можливість відключати автоматичний запуск скриптів. При цьому, користувач має явно схвалити запуск скрипту при відкритті документа^[3].

Інший спосіб зараження комп'ютера покладається на вразливості синтаксичних аналізаторів та внутрішніх механізмів OLE, завдяки чому скрипт може працювати приховано і без дозволу користувача^[3].

Відомі випадки застосування[ред. | ред. код]

Атака на «Прикарпаттяобленерго»[ред. | ред. код]

Саме третя версія трояну, BlackEnergy 3, була використана для здійснення першої у світі підтвердженої атаки на виведення з ладу енергосистеми: російським зловмисникам 23 грудня 2015 року вдалось успішно атакувати комп'ютерні системи управління в диспетчерській «Прикарпаттяобленерго», було вимкнено близько 30 підстанцій, близько 230 тисяч мешканців залишались без світла протягом однієї-шести годин^[5].

Нападники змогли отримати доступ до корпоративної мережі компанії завдяки вдалому зараженню комп'ютера одного із співробітників. Проте, мережі цифрових контролерів, які власне і керують обладнанням, знаходились за мережевими екранами.

Протягом багатьох місяців вони проводили масштабну розвідку, досліджували та описували мережі і здобували доступ до служби Windows Domain Controllers, яка керує обліковими записами користувачів мереж. Тут вони зібрали реквізити співробітників, у тому числі паролі від захищеної мережі VPN, яку працівники енергокомпаній використовували для віддаленого підключення до мережі SCADA.

Здобувши доступ до внутрішньої мережі, нападники переконфігурували пристрої безперебійного живлення (UPS), відповідальні за енергопостачання двох диспетчерських центрів.

Кожне обленерго використовувало власну систему управління розподілом енергії у своїх мережах, і під час фази розвідки нападники ретельно вивчили кожну з них. Тоді вони написали шкідливий мікрокод, яким замінили справжній вбудований мікрокод на конвертерах із серійного інтерфейсу на інтерфейс Ethernet у понад десяти підстанціях (ці конвертери застосовуються для обробки команд, які надходять від мережі SCADA до систем управління підстанцією).

Виведення з ладу конвертерів не давало операторам змогу посилати віддалені команди для повторного включення запобіжників після того, як енергію було вимкнуто.

Приблизно о 3:30 по обіді 23 грудня вони зайшли в мережі SCADA через вкрадені облікові записи і віддали команди на вимкнення систем безперебійного живлення, які вони вже переконфігурували раніше. Після цього вони почали вимикати запобіжні системи, які переривали живлення.

Але перед цим вони запустили атаку за методикою «відмова від обслуговування» на кол-центри обленерго, аби користувачі не могли повідомити про аварію. Фіктивні дзвінки, судячи з усього, надходили з Москви.

Після того, як нападники вимкнули запобіжники і відключили низку підстанцій від мережі, вони також переписали програмний мікрокод на конвертерах із серійного інтерфейсу на інтерфейс Ethernet, замінивши «справжнє» програмне забезпечення шкідливим, і тим самим вивівши з ладу конвертери, які перестали виконувати команди.

Завершивши всі ці дії, зловмисники застосували програму під назвою KillDisk для знищення файлів з комп'ютерів операторів підстанцій, тим самим вивівши і їх з ладу. KillDisk стирає чи перезаписує дані в критично важливих системних файлах, викликаючи їхнє «зависання».

Деякі з компонентів KillDisk потрібно запускати вручну, але нападники у двох випадках застосували так звану «логічну бомбу», яка запустила KillDisk автоматично через 90 хвилин після початку атаки.

Через півгодини, коли KillDisk мав зробити свою справу і в операторів не залишилось сумнівів щодо причини масштабного зникнення світла, компанія розмістила друге повідомлення — про те, що до цього причетні хакери.

Держказначейство України[ред. | ред. код]

6 грудня 2016 року хакерська атака на урядові сайти (Держказначейства України, Мінфіну, Пенсійного фонду та інших) і на внутрішні мережі держорганів призвела до масштабних затримок бюджетних виплат.^[8][9] Вже 7 грудня (досить оперативно, як для державних органів) Кабмін виділив 80 млн гривень для захисту від хакерів.^[9][10]

Інші випадки застосування[ред. | ред. код]

Естонія[ред. | ред. код]

На тлі погіршення відносин між РФ та Естонією навесні 2007 року стались масовані кібератаки на відмову обслуговування проти інтернет-ресурсів (вебсайтів) в Естонії. В основному, були використані ресурси мережі інфікованих комп'ютерів Storm. Однак згодом, коли розпочались судові процеси над учасниками заколотів квітня 2007 року, вражені трояном BlackEnergy комп'ютери були використані для атаки на видання delfi.ee^[11].

Сполучені Штати Америки[ред. | ред. код]

У 2009 році троян BlackEnergy був використаний групою кіберзлочинців з Росії для атаки на інформаційну систему американського банку Citigroup Inc., внаслідок чого було вкрадено грошей на суму десятки мільйонів доларів^[12].

Україна[ред. | ред. код]

Під час протестів проти вступу України в НАТО, що відбувались в 2007—2008 роках, атак зазнали деякі інформаційні видання.

Серед інших, 2008 року атаки у відмові на обслуговування зазнав сайт п'ятого каналу 5.ua. В тілі HTTP запиту знаходився рядок «NATO go home». Система спостереження ATLAS змогла встановити центр управління атаки — ними виявились зареєстровані в Китаї сайти my-loads.info та ultra-shop.biz. Керований ними ботнет був створений на основі інфікованих трояном BlackEnergy комп'ютерів^[13].

На початку лютого 2016 року троян BlackEnergy був виявлений в комп'ютерах в мережі системи управління польотами міжнародного аеропорту «Бориспіль». Тоді минулось без істотніших наслідків^[14][15].

Див. також[ред. | ред. код]

• CERT-UA
• Троянська програма
• Операція «Potao»
• Атака на «Прикарпаттяобленерго»
• WannaCry

Примітки[ред. | ред. код]

Література[ред. | ред. код]

• Blackenergy & Quedagh. The convergence of crimeware and APT attacks (PDF). Malware Analysis Whitepaper. F-Secure labs Security Response. 2014. Архів оригіналу (PDF) за 9 жовтня 2016. Процитовано 23 березня 2016.
• Kurt Baumgartner, Maria Garnaeva (3 листопада 2014). BE2 custom plugins, router abuse, and target profiles. New observations on BlackEnergy2 APT activity. Secure List (Kaspersky). Архів оригіналу за 18 червня 2016. Процитовано 15 серпня 2016.
• Udi Shamir (2016). Analyzing a New Variant of BlackEnergy 3. Likely Insider-Based Execution (PDF). Sentinel One. Архів оригіналу (PDF) за 23 березня 2016. Процитовано 23 березня 2016.
• Anton Cherepanov (3 Jan 2016). BlackEnergy by the SSHBearDoor: attacks against Ukrainian news media and electric industry. We Live Security (ESET). Архів оригіналу за 12 серпня 2016. Процитовано 15 серпня 2016.
• GReAT (28 січня 2016). BlackEnergy APT Attacks in Ukraine employ spearphishing with Word documents. Secure List (Kaspersky). Архів оригіналу за 12 квітня 2016. Процитовано 15 серпня 2016.

Посилання[ред. | ред. код]

• Хакерська атака Росії на українську енергосистему: як це було [Архівовано 25 лютого 2022 у Wayback Machine.], Texty та Wired
• Updated BlackEnergy Trojan Grows More Powerful [Архівовано 6 квітня 2016 у Wayback Machine.]
• KillDisk and BlackEnergy Are Not Just Energy Sector Threats [Архівовано 24 березня 2016 у Wayback Machine.]
• Back in BlackEnergy: 2014 targeted attacks in the Ukraine and Poland на YouTube: доповідь Роберт Ліповський та Антон Черепанов (ESET) на конференції VB2014
• ICS-ALERT-14-281-01B [Архівовано 8 серпня 2016 у Wayback Machine.]: Ongoing Sophisticated Malware Campaign Compromising ICS (Update E)

Це незавершена стаття про програмне забезпечення. Ви можете допомогти проєкту, виправивши або дописавши її.