Специалисты компании ESET, занимающейся вопросами информационной безопасности, обнаружили новую волну хакерских атак на энергетический сектор Украины. Как и в прошлый раз, атаки проводятся через вирусы, встроенные в документы Microsoft Office.
Напомним, в декабре прошлого года несколько крупных компаний получили по электронной почте вирус BlackEnergy, который привёл к выходу из строя украинских электростанций. На этот раз сценарий остался прежним — Злоумышленники рассылают по энергетическим предприятиям Украины фишинговые письма от лица компании «Укрэнерго» с вредоносным документом Excel во вложении.
Документ-приманка содержит вредоносный макрос, схожий с тем, что использовался в киберкампании с применением BlackEnergy. Атакующие пытаются убедить жертву игнорировать сообщение безопасности и включить макрос, выводя на экран поддельное сообщение Microsoft Office.
Исполнение этого макроса приводит к запуску вредоносного программного обеспечения — загрузчика, который скачивает с удалённого сервера исполняемый файл и пытается запустить его. Заражённый файл находился на украинском сервере, который был демонтирован после обращения специалистов ESET в организации реагирования на компьютерные инциденты CERT-UA и CyS-CERT.
В отличие от предыдущих атак на украинские энергетические объекты, злоумышленники использовали не троян BlackEnergy, а другой тип вредоносного программного обеспечения. Как показал антивирусный анализ, они выбрали модифицированную версию бэкдора Gcat с открытым исходным кодом, написанную на скриптовом языке программирования Python.
Бэкдор Gcat позволяет загружать в зараженную систему другие программы и исполнять команды оболочки. Прочие функции бэкдора (например, создание скриншотов, перехват нажатия клавиш, отправка файлов на удаленный сервер) были удалены, поэтому его обнаружение антивирусным софтом затруднено. Управление Gcat осуществляется через защищённый почтовый аккаунт Google Gmail, что значительно осложняет обнаружение вредоносного трафика в сети.
По мнению ESET, атаками энергетический сектор Украины занимаются хакеры-самоучки, поскольку использование вредоносного ПО с открытым исходным кодом нехарактерно для кибератак, которые осуществляются по заказу государства или крупных компаний.
