Mimo, że większości z nas wirus komputerowy może kojarzyć się co najwyżej z koniecznością zawiezienia naszego laptopa do informatyka, potrafi on znacznie więcej. Idealnie pokazuje to przykład Industroyera (stworzonego przez grupę BlackEnergy) sprzed 3 lat. Wirus pozwolił przejąć kontrolę nad znajdującymi się w podstacjach elektrycznych przełącznikami i wyłącznikami. W tym celu wykorzystywał przemysłowe protokoły komunikacyjne stosowane w infrastrukturze zasilania, systemach kontroli transportu i innych ważnych systemach infrastruktury krytycznej (woda, gaz), które są używane na całym świecie. Skutkiem tych działań było odcięcie ok. 1 miliona mieszkańców Ukrainy od dostępu do gazu i prądu.
Grupa TeleBots zaatakowała również instytucje finansowe naszych wschodnich sąsiadów. Cyberprzestępcy wykorzystali złośliwą aktualizację popularnego na Ukrainie programu do rozliczeń finansowych M.E.Doc w celu propagacji zagrożenia ransomware Petya/NotPetya. Efektem było zaszyfrowanie ogromnej ilości komputerów na Ukrainie. Skutki ataku były odczuwalne przez ukraińskie, rosyjskie oraz polskie przedsiębiorstwa i spowodowały gigantyczne straty finansowe.
Powiązana z Petya/NotPetya i samymi TeleBots jest GreyEnergy. Ta grupa jak się okazuje od przynajmniej trzech lat koncentruje się na szpiegowaniu zarówno ukraińskich jak i polskich firm energetycznych. Ich celem strategicznym są stacje robocze kontroli przemysłowej (ICS) nadzorujące przebieg procesów produkcyjnych za pomocą oprogramowania SCADA. Wykorzystać do tego miała wirusa Exaramel – backdoora bliźniaczo podobnego do Industroyera.
„Zaawansowane ataki ukierunkowane (APT) grupy GreyEnergy polegają na wprowadzaniu złośliwego oprogramowania do komputerów konkretnych firm i instytucji. Instalowane zagrożenia są w stanie wykradać dowolne poufne dane takie jak loginy i hasła, a także wykonywać zrzuty ekranu i przesyłać je na serwery cyberprzestępców” – wyjaśnia Kamil Sadkowski, starszy analityk zagrożeń ESET.
Źródło: ESET