Bir global araştırma ve analiz ekibi, Rusça konuşan Black Energy APT grubu tarafından gerçekleştirilen ve daha önceki bilinmeyen saldırıların işaretlerini keşfetti.
BlackEnergy, oldukça dinamik bir tehdit oyuncusu ve Ukrayna’daki en son saldırılar, siber casusluk faaliyetlerinin yanı sıra gündemlerinde yok edici faaliyetlerin de olduğuna işaret ediyor. Önceleri bir DDoS zararlı yazılım kullanıcısı olan BlackEnergy, kullandığı araçları çok daha geniş bir hale getirdi. Pek çok kez ortaya çıkarılmış olmasına rağmen, BlackEnergy faaliyetlerine devam ediyor ve ciddi bir tehlike oluşturuyor.
2015 yılının ortasından beri, BlackEnergy APT (gelişmiş tehdit) grubu, hedef alınan bir ağdaki bilgisayarlara virüs bulaştırmak için zararlı Excel belgeleri taşıyarak kimlik avcılığı e-postalarını kullanmaya aktif olarak devam ediyor. Ancak bu yılın Ocak ayında, Kaspersky Lab araştırmacıları, bir BlackEnergy Truva Atıyla sisteme virüs bulaştıran yeni bir zararlı belge keşfetti. Önceki saldırılarda kullanılan Excel belgelerinin aksine, bu bir Microsoft Word belgesiydi.
Belgenin açılmasından sonra, kullanıcıya içeriğin görüntülenebilmesi için makroların etkinleştirilmesini tavsiye eden bir iletişim kutusu sunuluyor. Makroların etkinleştirilmesi, BlackEnergy zararlı yazılımının bulaşmasını tetikliyor.
Bir kurbanın bilgisayarında etkinleştirildikten sonra, bu zararlı yazılım, virüs bulaştırılan makinenin temel bilgilerini komut ve kontrol (C&C) sunucusuna gönderiyor. Bu zararlı program tarafından gönderilen C&C bağlantısı içerisindeki alanlardan biri, kurbanın kimliğine işaret ettiği görülen bir dize içeriyor. Kaspersky Lab araştırmacıları tarafından analiz edilen belge, “301018stb” kimlik tanımlayıcısını içeriyordu ve burada “stb”, Ukraynalı TV istasyonu “STB”ye işaret ediyordu. Bu TV istasyonu, Ekim 2015 tarihinde BlackEnergy Wiper saldırılarının kurbanlarından biri olmuştu.
Virüsün bulaştırılmasından sonra, ek zararlı modüller de yüklenebiliyor. Kullanılan Truva Atı’nın sürümüne bağlı olarak, bu ek yüklemenin işlevleri, siber casusluktan veri hırsızlığına kadar değişebiliyor.
BlackEnergy APT grubu; 2014 yılında dünyanın dört bir yanında ICS ve enerji sektöründe bulunan kurbanlara karşı SCADA bağlantılı eklentileri devreye sokmaya başladıkları zaman dikkat çekmişti. Bu da bu grubun Ukrayna’da ICS, enerji, hükümet ve medya sektörlerini hedef aldığını gösteriyor.
