US CERT STATEMENT ON BLACK ENERGY 

http://cert.gov.ua/?p=2370

Українські ЗМІ атакують за допомогою Black Energy

09/11/2015

Нещодавно декілька українських ЗМІ у дні проведення місцевих виборів було атаковано невідомими зловмисниками. Про це у мережі оприлюднювалась досить дозована інформація про успішні хакерські атаки, напрямлені на них. До CERT-UA також звернулись з цього приводу і ми вважаємо за важливе повідомити про деякі деталі.

Загалом, хотілося б відмітити те, що загроза має характер добре спланованого замовлення з метою показати спроможність порушення працездатності скомпрометованих корпоративних мереж ЗМІ за допомогою такого інструменту хакерів, як Black Energy (Win32/Rootkit.BlackEnergy, Backdoor.Win64.Blakken), яке використовується для проведення APT-атак. Про захист від атак цього типу ми писали раніше.

24 та 25 жовтня 2015 року (день виборів) на серверному обладнанні Телеканалу Х було зафіксовано атаку внаслідок виходу з ладу декількох серверів. Деякі телеканали не публікували і не розголошували додаткових подробиць, проте наявні у нас дані свідчать, що постраждала значна кількість відеоматеріалів та інші види інформаційних матеріалів. Власне розслідування спеціалістів з безпеки Телеканалу Х показало наявність на уражених серверах файлів з назвами: ololo.exe, trololo.exe та інших.

Дане шкідливе програмне забезпечення виконує деструктивну функцію (від англ. eraser), функціонал якого полягав у спробі отримати повноваження привілейованого користувача операційної системи. У разі, якщо це не вдавалось, на зараженій системі починали створюватись файли розміром 16 мегабайт у папці c://Windows/TEMP та заповнюватись довільно обраною літерою:

 

Можливо, це робиться з метою звернути увагу системного адміністратора на завершення дискового простору і примушення його виконати входження під обліковим записом привілейованого користувача.

Також, eraser видаляв завантажувач, що у сукупності призводило до неможливості запуску операційної системи у подальшому. Крім того, даний eraser шукав на ПК файли з таким розширеннями.

Скоріш за все, eraser був завантажений Black Energy на заражену систему за допомогою драйверів:

[aliide.sys][956246139f93a83f134a39cd55512f6d]

[amdide.sys][979413f9916e8462e960a4eb794824fc]

які виступали у якості шлюзів для подальшого завантаження іншого шкідливого функціоналу Black Energy.

Згідно проведеного аналізу, цей драйвер призначений для x64 архітектури процесора та має перевірений сертифікат. Оскільки завантажувач BlackEnergy встановлює свій драйвер під випадково вибраним ім'ям, який бере у невикористаного в момент установки існуючого драйвера в ОС Windows, наприклад, %system32%\drivers\aliide.sys, то не можна знайти його в системі за певним іменем. Однак, в 64-розрядних системах використовується самоподпісанний драйвер, і цей факт дозволив деяким жертвам ідентифікувати шкідливий файл.

BlackEnergy використовує один із перерахованих нижче імен файлів для зашифрованих сховищ плагінів і мережевих налаштувань. Вони постійні і служать в якості стабільних індикаторів компрометації:

%system32%\drivers\winntd_.dat

%system32%\drivers\winntd.dat

%system32%\drivers\wincache.dat

%system32%\drivers\mlang.dat

%system32%\drivers\osver32nt.dat

%LOCALAPPDATA%\adobe\wind002.dat

%LOCALAPPDATA%\adobe\settings.sol

%LOCALAPPDATA%\adobe\winver.dat

%LOCALAPPDATA%\adobe\cache.dat

Для забезпечення персистентності (постійності в системі) BlackEnergy також використовує наступний шлях в автозагрузці системи:

Users\user\AppData\Roaming\Microsoft\Windows\Start

Menu\Programs\Startup\{random_name}.exe

Також відомі такі наступні імена файлів, які можуть використовуватися даним зразком BlackEnergy:

%USERPROFILE%\NTUSER.LOG

%LOCALAPPDATA%\FONTCACHE.DAT

Стосовно IP-адреси, з якої було можливе завантаження шкідливого програмного забезпечення, то нам поки що не вдалося отримати журнальні файли від провайдера. Правоохоронні органи України також попереджені.

За результатом аналізу виявлено більше 30 унікальних ІР-адрес у мережі Інтернет, які слугують у якості серверів контролю та управління Black Energy. Це значить, що даний інструмент АРТ-атак знов проявляє себе і працює переважно проти Польщі та України.

Оскільки під час розбору атаки було виявлено компрометацію серверу 1C-бугалтерії, можливо, що первинним джерелом потрапляння BlackEnergy до мереж була електронна пошта на адресу фінансового підрозділу.

Ще раз наголошуємо на неприпустимості відкриття вкладень, отриманих засобами електронної пошти (без попереднього підтвердження факту надсилання електронного листа його відправником).

Системним адміністраторам і адміністраторам безпеки слід звернути увагу на фільтрацію вхідних/вихідних інформаційних потоків, зокрема, поштового і веб-трафіку.

Користувачам електронної пошти слід бути уважними при відкритті атачментів, навіть якщо вони надійшли від відомих адресатів.

^ed