Le groupe GreyEnergy vise les infradtructures critiques, probablement en vue d’attaques d’attaques dommageables
Publié le 17/10/2018 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le 17 octobre 2018 - ESET a dévoilé les détails d'un successeur du groupe BlackEnergy APT. Nommé GreyEnergy par ESET, cet acteur menaçant se concentre sur l'espionnage et la reconnaissance, probablement en vue de futures attaques de cybersabotage.

BlackEnergy terrorise l'Ukraine depuis des années et a pris de l'importance en décembre 2015 en provoquant une panne d'électricité laissant 230.000 personnes sans électricité lors de la toute première panne causée par une cyberattaque. À l’époque de cet incident majeur, les chercheurs d’ESET ont commencé à détecter un autre système de programmes malveillants qu’ils ont baptisé GreyEnergy.

«Au cours des trois dernières années, GreyEnergy a été impliquée dans des attaques visant des sociétés du secteur de l’énergie et d’autres cibles d’importance majeure en Ukraine et en Pologne», explique Anton Cherepanov, chercheur senior chez ESET, qui a dirigé les recherches.

L'attaque de 2015 contre les infrastructures énergétiques ukrainiennes était la plus récente opération connue utilisant l'ensemble d'outils BlackEnergy. Suite à cela, les chercheurs ESET ont documenté un nouveau sous-groupe APT, TeleBots.

Les Telebots sont plus particulièrement connus pour l’épidémie mondiale de NotPetya, le logiciel malveillant effaçant le disque, qui a perturbé les activités commerciales mondiales en 2017 et causé des dommages de milliards de dollars US. Comme les chercheurs d'ESET l'ont récemment confirmé, les TeleBots sont également connectés à Industroyer, le logiciel malveillant le plus puissant et le plus moderne destiné aux systèmes de contrôle industriels, qui est à l'origine de la deuxième panne d'électricité survenue à Kiev en 2016.

«GreyEnergy a fait son apparition avec les TeleBots, mais contrairement à son cousin plus connu, les activités de GreyEnergy ne se limitent pas à l’Ukraine et n’ont pas encore causé de dommages. En fait, ils veulent voler sous le radar », explique Anton Cherepanov.

De conception modulaire, sa fonctionnalité dépend de la combinaison de modules que son opérateur télécharge sur les systèmes de la victime. D’après l’analyse approfondie d’ESET, les programmes malveillants GreyEnergy sont étroitement liés aux programmes malveillants BlackEnergy et TeleBots.

Les modules décrits dans l’analyse d’ESET ont été utilisés à des fins d’espionnage et de reconnaissance. Ils incluent : porte dérobée, extraction de fichier, capture d’écran, saisie de frappe, saisie de mots de passe et de données d’identité, etc.

«Nous n'avons jamais rencontré de module ciblé sur les logiciels ou systèmes de contrôle industriels. Toutefois, nous avons constaté que les opérateurs de GreyEnergy ciblaient de manière stratégique les postes de travail de contrôle ICS exécutant le logiciel et les serveurs SCADA », ajoute Anton Cherepanov.

La divulgation et l’analyse de GreyEnergy faite par ESET est importante pour une défense efficace contre cet acteur menaçant ainsi que pour une meilleure compréhension des tactiques, outils et procédures les plus avancés dans le domaine des groupes APT.

Plus de détails sont disponibles sur WeLiveSecurity.com blogpost ainsi que dans le livre blanc https://gpc.eset.com/gpc/filebrowser/file/4906

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?