Za útoky malwarů NotPetya a Industroyer stojí stejná skupina

adware security

Objevily se důkazy, které spojují nechvalně proslulou kybernetickou skupinu TeleBots s Industroyerem, nejnebezpečnějším moderním malwarem zaměřeným na průmyslové řídicí systémy a viníkem masivního výpadku elektřiny v ukrajinské metropoli Kyjev v roce 2016.

Skupina TeleBots se „proslavila“ škodlivým kódem NotPetya, malwarem pro šifrování disků, který narušil globální obchodní transakce v roce 2017. Ten souvisel i s útokem skupiny BlackEnergy, který byl využit v roce 2015 a představoval jeden z prvních případů využití škodlivého kódu, jež způsobil výpadky elektrické energie na Ukrajině. Stalo se tak rok před zásahem „průmyslového“ malwaru Industroyer.

„Spekulace o spojitosti mezi Industroyerem a skupinou TeleBots se objevily krátce poté, co Industroyer zasáhl ukrajinskou rozvodnou síť,“ říká analytik Anton Cherepanov, který vedl analytické týmy zaměřené na útoky ransomwarů Industroyer a NotPetya. „Neexistoval k tomu ale žádný pádný důkaz – až dosud.“

V dubnu 2018 narazila společnost ESET na novou aktivitu skupiny TeleBots: pokud o nasazení nového backdooru, který detekuje jako Exaramel. Bližší analýzou tohoto škodlivého kódu dospěla společnost k závěru, že tento backdoor je zdokonalenou verzí hlavního backdooru šířícího Industroyer – což je první důkaz, který spojuje Industryoer se skupinou TeleBots.

„Objev Exaramelu potvrzuje, že skupina TeleBots je i v roce 2018 stále aktivní a útočníci neustále vylepšují své nástroje a taktiky,“ uzavírá Cherepanov. „Činnost této skupiny budeme nadále sledovat,“ slibuje.

Související články

Leave a Comment