Inicio / Para Expertos / El nuevo malware de GreyEnergy apunta a ICS, vinculado con BlackEnergy y TeleBots

El nuevo malware de GreyEnergy apunta a ICS, vinculado con BlackEnergy y TeleBots

Un nuevo actor avanzado de amenazas se encuentra ahora en el mapa público de adversarios que se dirigen a los sistemas en el sector de infraestructura crítica. El nombre es GreyEnergy y muestra similitudes con el grupo BlackEnergy.

El malware GreyEnergy no tiene capacidades destructivas en este momento, y parece estar centrado en las operaciones de espionaje y reconocimiento en las estaciones de trabajo de sistemas de control industrial que ejecutan software y servidores SCADA.

Sin embargo, tiene una arquitectura modular, lo que significa que sus capacidades se pueden ampliar aún más.

Los complementos observados por los investigadores de seguridad proporcionan capacidades tales como acceso de puerta trasera, exfiltración de archivos, captura de capturas de pantalla, registro de pulsaciones de teclas y robo de credenciales.

Herramientas legítimas para propósitos nefarios.

Los investigadores de seguridad de ESET notaron que la etapa de ataque inicial utiliza una pieza de malware diferente, llamada ‘GreyEnergy mini’, también conocida como FELIXROOT , que no requiere privilegios de administrador.

Su tarea es mapear la red y recopilar credenciales que otorguen al malware principal los permisos necesarios para tomar el control completo de la red. El objetivo se logra con Nmap y Mimikats, herramientas disponibles de forma gratuita y diseñadas con fines de investigación de seguridad.

Otras herramientas legítimas utilizadas incluyen SysInternals PsExec y WinExe, para realizar movimientos laterales a través de una red comprometida.

Enlaces con BlackEnergy y TeleBots

Los investigadores de ESET han estado siguiendo a GreyEnergy desde 2015, cuando descubrieron que estaba dirigido a una empresa de energía en Polonia. Consideran que es el sucesor de BlackEnergy y también encontraron una conexión con el grupo de amenazas TeleBots, conocido por el ataque NotPetya en 2017.

El actor de amenazas BlackEnergy es responsable de usar el malware con el mismo nombre y KillDisk  en el ataque cibernético que causó el apagón de diciembre de 2015 en Ucrania .

“Hemos visto a GreyEnergy involucrada en ataques contra compañías de energía y otros objetivos de alto valor en Ucrania y Polonia en los últimos tres años”, dice Anton Cherepanov, investigador principal de seguridad de ESET que dirigió la investigación.

El enlace con Telebots, aparte de ambos surgiendo al mismo tiempo, es el uso de GreyEnergy en 2016 de una pieza de malware destructivo que los investigadores llaman Moonraker Petya. Como su nombre indica, es similar a NotPetya, aunque menos avanzado, lo que sugiere una colaboración entre GreyEnergy y TeleBots, o al menos un intercambio de ideas y códigos.

Construido para operaciones sigilosas

Stealth parece estar entre los principales atributos de GreyEnergy, ya que sus servidores de comando y control (C2) se comunican solo con máquinas específicas en la red comprometida, que actúan como servidores proxy de las estaciones de trabajo infectadas.

Este modus operandi se ha visto en Duqu  y está diseñado para ocultar la actividad de espionaje, ya que las computadoras infectadas se comunican con un servidor interno que transmite la información al C2, en lugar de un sistema externo, lo que sería una señal de alerta. Vale la pena señalar que los servidores C2 actúan como relés Tor.

Un descubrimiento interesante que hizo ESET fue en una muestra del malware, que fue firmado digitalmente con un certificado, probablemente robado, de Advantech, una compañía en Taiwan que fabrica equipos industriales y dispositivos conectados.

“Desde que descubrimos que exactamente el mismo certificado se usó para firmar software limpio y no malicioso de Advantech, creemos que este certificado probablemente fue robado. Vale la pena señalar que la muestra descubierta no tiene contraseñas, lo que significa que la firma digital “se volvió inválido una vez que el período de validez del certificado había expirado”, señala ESET en su informe.

El malware puede ser persistente o no

GreyEnergy implementa su malware de acuerdo con el tipo de máquina que se infiltra. Según la investigación de ESET, un método es ejecutar el malware en la memoria del sistema. Este enfoque se elige con servidores que tienen un alto tiempo de actividad, donde los reinicios son raros.

El segundo tipo de sistemas dirigidos son aquellos en los que el malware necesita persistencia debido a una mayor posibilidad de reinicio. En este caso, se selecciona un servicio existente y se agrega una nueva clave de registro ServiceDLL. Este método puede romper el sistema y, para evitar este resultado, el instalador de malware necesita ejecutar un proceso de detección en busca de un servicio que cumpla con una serie de requisitos.

Los investigadores dicen que el propósito de GreyEnergy es infiltrarse profundamente en la red del objetivo y recopilar información. A diferencia de TeleBots, no está en el negocio del sabotaje, pero esto no excluye la posibilidad de que las capacidades destructivas estén disponibles en algún momento.

Sin embargo, lo que sí es seguro es que “los actores de amenazas responsables de GreyEnergy son extremadamente peligrosos en su persistencia y sigilo”, concluyeron los investigadores.

Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

GhostDNS: el nuevo botnet de cambiador de DNS secuestró más de 100.000 enrutadores

Investigadores chinos de ciberseguridad han descubierto una campaña de malware extendida y en curso que …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.