成熟しつつあるマルウェア兵器 BlackEnergy の開発者は、Linux とルーター キットを標的とする新しいコードに、Kaspersky のリバース エンジニアと Cisco の開発者に向けた個人的なメッセージを書き込んだ。
厄介なマルウェア研究者は、BlackEnergy がサービス拒否攻撃ツールから、高度な金融機関や国家の支援を受けているとされる攻撃者によって使用されるバージョン 2 キットに進化して以来、注目してきました。
このウェアは、The Borg のキットをターゲットとするプラグイン Ciscoapi.tcl を含む攻撃機能でアップグレードされました。
研究者のカート・バウムガルトナー氏(@k_sec)とマリア・ガルナエヴァ氏は、分析の中で、この脆弱性にはシスコの EXEC コマンドのラッパーと「カスペルスキーに対する強力なメッセージ」が含まれていたと述べた。
Sandworm チームが Kaspersky と Cisco にメッセージを残す。
「2014年の[北半球]夏に、私たちはBE2(ブラックエナジー バージョン2)の重要な被害者プロフィールに関する洞察を得た」と研究者らは述べた。
最新のBlackEnergy亜種には、侵入者が発見された場合や特に復讐心が強い場合にドライブを消去する機能や、ポートスキャンや証明書窃取を行う様々なプラグインも追加されていました。あるプラグインgrcは、Google Plusアカウントを利用して、暗号化された画像ファイルから難読化されたコマンド&コントロールデータをダウンロードしていました。
このアップグレードは「数年にわたる」専門的かつ組織的な開発の一環であった。
新しい BlackEnergy ボットによって、複数の無名の被害者企業が侵害を受けましたが、その中には 3 年以上にわたって侵害を受けていた米国の特定されていない一連の産業用制御システム組織も含まれています。
カスペルスキー社が特定し、バウムガートナー氏とガルナエヴァ氏が分析した被害者の 1 人は、サンドワーム チームとして知られる攻撃者が、ウクライナにいると思われる別の被害者から盗んだ VPN 認証情報を使用したことで、データが破壊されました。®
