«Мусорный» код призван запутать аналитиков и сбить их со следа.
Исследователи в области кибербезопасности продолжают изучать инфраструктуру группировки GreyEnergy, предположительно имеющей отношение к кибератакам на энергосистему Украины в 2015 году. В ходе реверс-инжиниринга вредоносного ПО GreyEnergy эксперт компании Nozomi Networks Алессандро Ди Пинто (Alessandro Di Pinto) обнаружил огромное количество «мусорного» кода, призванного запутать аналитиков и сбить их со следа.
«Широкое использование атакующими методов, затрудняющих проведение экспертизы, подчеркивает их стремление сохранять скрытность и обеспечить незаметное заражение вредоносным ПО», – заметил исследователь.
Русскоязычная группировка GreyEnergy считается преемником группировки BlackEnergy, которая, предположительно, атаковала энергосистему Украины в 2015 году, что стало причиной отключения электроэнергии для 225 тыс. человек.
Ди Пинто проанализировал вредоносный документ Microsoft Word, использовавшийся в одной из фишинговых атак GreyEnergy. При открытие документа на систему загружался бэкдор, представляющий собой исполняемый файл-«упаковщик» (исполняемый файл, содержащий один или несколько сжатых или зашифрованных файлов). Подобные «упаковщики» легально могут использоваться для защиты интеллектуальной собственности, однако нередко к ним прибегают злоумышленники для сокрытия вредоносного кода.
Ди Пинто отметил умелость GreyEnergy в выборе тактики и инструментов для атак с использованием фишинговой рассылки.
«Исходя из того, насколько хорошо вредоносная программа маскирует себя после заражения системы, лучшим способом защиты от APT-группировки GreyEnergy для промышленных организаций будет обучение сотрудников опасностям фишинговых кампаний, в том числе способам распознавания вредоносных писем и вложений», – подчеркнул Ди Пинто.
Аналитикам пока не удалось выявить повторные атаки GreyEnergy на промышленные системы автоматизации. По словам Ди Пинто, киберпреступники часто взламывают IT-системы промышленных организаций для изучения работы АСУ ТП.
