«Черная энергия» сменилась «серой»

Компания ESET опубликовала доклад о деятельности ранее неизвестной киберпреступной группировки, получившей название GreyEnergy. По мнению экспертов ESET, GreyEnergy относится к числу так называемых APT-группировок (от английского advanced persistent threat – «настойчивая, изощренная угроза», термин, которым обозначаются тщательно организованные, целенаправленные кибератаки, нередко поддерживаемые на правительственном уровне). У исследователей есть основания считать GreyEnergy «наследницей» группы BlackEnergy, стоявшей за кибератаками на предприятия энергетического сектора Украины в конце 2015 года. Об этом свидетельствует сходство используемых хакерами вредоносных программ, а также тот факт, что GreyEnergy начала свои операции вскоре после того, как BlackEnergy «исчезла с радаров».

Также специалистам ESET удалось обнаружить связь GreyEnergy с хакерской группировкой TeleBots, стоявшей за атакой зловреда NotPetya в 2017 году. (Впрочем, многие эксперты склонны полагать, что TeleBots и BlackEnergy – имена одной и той же группировки.) Еще в 2016 году хакеры GreyEnergy использовали зловред, являющийся одной из ранних и не слишком совершенных версий NotPetya. Кроме того, участники GreyEnergy активно используют в шпионских целях такие общедоступные инструменты как Mimikatz, PsExec, WinExe и Nmap. Киберпреступники еще не отметились разрушительными атаками, что и позволило группировке оставаться практически незамеченной на протяжении трех лет. Однако хакеры настойчиво проникают в системы промышленного контроля предприятий энергетического сектора. При этом они используют вредоносное ПО модульной структуры, а потому модули для более агрессивных действий могут быть добавлены в любой момент. По данным ESET, главной целью GreyEnergy являются энергетические компании Украины и Польши.