Os ataques informáticos contra a indústria de energia Ucraniana prosseguem. Algumas informações acerca desta notícia podem ser encontradas em algumas das publicações mais recentes encontradas no WeLiveSecurity.

Entretanto descobrimos uma nova vaga de ataques, que já haviam afetado em Dezembro um número significativo de empresas elétricas na Ucrânia. O que é particularmente interessante é que o malware utilizado neste caso, não é o BlackEnergy, o que levanta mais algumas questões acerca do que está realmente a acontecer. O malware é baseado numa backdoor open-souce e disponível livremente – algo que ninguém ia esperar de um atacante importante e patrocinado pelo estado.

Detalhes dos Ataques Informáticos

O cenário dos ataques não mudou muito, em relação ao que já havíamos descrito. Os atacantes enviam emails de spearphishing a potenciais vítimas e estes emails contêm um anexo que consiste num ficheiro XLS malicioso.

mail

 

O email contém conteúdo HTML ligado a um ficheiro PNG e que está localizado num servidor remoto de modo a que os atacantes recebam uma notificação de que o email foi entregue e aberto pela vítima. Já havíamos observado esta técnica por parte do grupo BlackEnergy no passado.

mail_embedded

Do mesmo modo, o nome do ficheiro PNG é a string codificada “mail_victim’s_email”.

 

XLS_File

O ficheiro XLS malicioso que contém macros é similar a todos aqueles que já observámos nestas ondas de ataque. Tenta, utilizando engenharia social, levar a vítima a ignorar o sistema integrado de segurança do Microsoft Office, para poder executar o comando macro. O texto no documento, traduzido de Ucraniano, refere “Atenção este documento foi criado com uma nova versão do Microsoft Office. São necessárias macros para se mostrar o conteúdo do documento.”.

Executar a macro leva ao lançamento de um downloader malicioso que tenta descarregar e executar o payload final a partir de um servidor remoto.

CODE

O servidor que aloja o payload final está localizado na Ucrânia e foi desligado após notificação da CERT-UA e CyS-CERT.

Estávamos à espera de encontrar o malware BlackEnergy no payload final, mas desta vez foi utilizado um malware diferente. Os atacantes utilizaram versões modificadas de uma backdoor gcat escrita na linguagem de programação Python. O script foi convertido posteriormente para um executável, utilizando a aplicação PyInstaller.

python_code

Esta backdoor é capaz de descarregar executáveis e executar comandos shell. Outras funcionalidades incluem a possibilidade de capturas de ecrã, registo das teclas utilizadas ou upload de ficheiros. Porém importa salientar que estas funcionalidades foram removidas do código fonte. Esta backdoor é controlada pelos atacantes através de uma conta Gmail, tornando difícil a detecção numa rede.

As soluções ESET detetam a ameaça como:

  • VBA/TrojanDropper.Agent.EY
  • Win32/TrojanDownloader.Agent.CBC
  • Python/Agent.N

Conclusões

Desde as primeiras notícias que estes ataques têm vindo a merecer uma elevada atenção por parte da imprensa. As razões para este facto são:

  • Este é eventualmente o primeiro caso onde uma enorme falha de energia foi causada por um ciberataque.
  • Muitos orgãos de comunicação atribuíram estes ataques à Russia

O primeiro ponto foi objecto de debate, para se tentar perceber se foi de facto o malware que causou a falha de energia, ou apenas a tornou possível.

O segundo ponto, mais controverso, é se foi algum país a patrocinar este ataque. Algo para que de momento, ainda não existem provas.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*