L’APT BlackEnergy/Sandworm sta diffondendo il malware GreyEnergy

Articolo di Francesco Bussoletti per Difesa&Sicurezza del 18/01/2019

Il malware sconosciuto, sotto analisi da gennaio dalla comunità di ricercatori di cyber security, è GreyEnergy dell’APT BlackEnergy/Sandworm. Lo confermano gli specialisti di Cybaze-Yoroi

Il malware sconosciuto, che da gennaio viene studiato dalla comunità dei ricercatori di cyber security, è GreyEnergy (alias FELIXROOT). Lo hanno confermato gli esperti di sicurezza cibernetica di Cyzabe-Yoroi, i quali hanno analizzato un campione del codice malevolo, una backdoor. Le configurazioni e i dati statistici collimano con le tattiche, le tecniche e le procedure (TTP) rilevate nelle analisi precedenti. Ciò conferma cosa sia il sample e il suo conseguente collegamento al gruppo hacker Advanced Persistent Treat (APT) BlackEnergy/Sandworm. Secondo ESET, GreyEnergy, infatti, è una delle ultime armi nell’arsenale dell’APT, il cui toolset principale (il malware BlackEnergy) fu usato negli attacchi contro le infrastrutture energetiche ucraine nel 2015. Il codice si diffonde attraverso due vettori: perimeter breach e azioni di tipo spear-phishing via mail con allegati malevoli. 

Come funziona las backdoor, parte dell’arsenale di hacker malevoli che nel 2015 attaccarono le infrastrutture energetiche in Ucraina 

FireEye a luglio del 2018 ha pubblicato una ricerca sulle campagne di spear-phishing di GreyEneregy e più recentemente (lo scorso ottobre) ci sono stati cyber attacchi con questo malware a infrastrutture critiche polacche. Peraltro, l’intera architettura della backdoor è modulare e molto difficile da neutralizzare. È in grado di recuperare nuovi moduli dai server di comando e controllo, rafforzando le capacità offensive dell’impianto malevolo. Inoltre, è dotato di classiche, ma efficaci, tecniche di evasione all’analisi automatizzata e comunica periodicamente con il server di Comando e Controllo (C2). Ogni 30 minuti, infatti notifica di essere ancora in esecuzione e invia una serie di informazioni sulla vittima: dal nome del computer a quello dell’user, al seriale del volume, alla versione di Windows, passando per l’architettura del processore e altri dati.