Иследователи обнаружили следы арт Black Energy в коде зловреда Expetr
Исследователи обнаружили связь между APT BlackEnergy и авторами зловреда ExPetr. По словам исследователей из «Лаборатории Касперского», они нашли много общего в коде старой версии KillDisk от BlackEnergy и коде ExPetr.
Эти параллели были впервые обнаружены в списке расширений файлов, в которые целились BlackEnergy и ExPetr. «Лаборатория Касперского» и исследователи из Palo Alto Networks сообщили, что они «сосредоточились на списке расширений и коде, ответственном за разбор файловой системы для шифрования или очистки».
«Вместе мы попытались создать список особенностей, которые мы могли бы использовать для создания правила YARA для обнаружения как ExPetr, так и следов BlackEnergy», – пишут исследователи из команды GReAT «Лаборатории Касперского» в посте, опубликованном на Securelist. YARA – это инструмент для проведения анализа, используемый для изучения файлов и каталогов и поиска сходств на основе сигнатур.
«Мы взяли результаты автоматизированного сравнения кода и свели их в сигнатуру, которая полностью соответствует шаблону обоих кодов, в надежде обнаружить сходство. Мы получили некую комбинацию из стандартного кода и отдельных интересных строк, которые мы свели в единое правило, чтобы выделить компоненты BlackEnergy KillDisk и образцы ExPetr» , – так описывают процесс анализа исследователи.
Тщательный анализ кода, использованного BlackEnergy в вымогателе KillDisk, и кода ExPetr, показал «низкий уровень сходства». Однако если рассматривать эти элементы кода как часть более общего правила YARA, то совпадения становятся очень точными.
Исследование может оказаться полезным для определения того, кто стоит за эпидемией ExPetr, которая саботировала работу тысяч компьютеров.
Группа BlackEnergy APT давно известна тем, что использует уязвимости нулевого дня и вредоносный код, предназначенный для поражения индустриальных систем управления. Именно BlackEnergy стояли за атакой в 2015 году, направленной на энергосистемы Украины, и рядом других подобных атак, нацеленных на эту страну в течение последних нескольких лет.
В последнее время ExPetr считают скорее стирателем, чем вымогателем. Несмотря на то, что у зловреда есть компонент, отвечающий за вымогательство, ExPetr не позволит расшифровать диск жертвы, даже если та произведет платеж.
«Не стоит называть атаку без возможности расшифровки файлов атакой с целью вымогательства», – говорит Хуан Андрес Герейро-Сааде, старший аналитик «Лаборатории Касперского», на совместном вебинаре с Мэттом Суишем из компании Comae Technologies, прошедшем на прошлой неделе.
Аналогичное исследование, проделанное ESET, также показало связь между ExPetr и BlackEnergy. По словам представителей компании, за эпидемией ExPetr стоит группа под названием TeleBots, связанная каким-то образом с BlackEnergy. Шифрующий компонент KillDisk, также входящий в код ExPetr, – визитная карточка группы TeleBots. «На заключительном этапе своих атак группа TeleBots всегда использовала шифратор KillDisk для перезаписи файлов с определенными расширениями», – считают в ESET.
Параллельно исследователи из Совместного центра передового опыта по кибербезопасности НАТО (NATO CCD COE) заключили, что атаки ExPetr, вероятно, являются работой государственных структур. В заявлении, опубликованном 30 июня, говорится: «Глобальная вспышка зловреда NotPetya (или ExPetr) 27 июня 2017 года, поразившая множество организаций в Украине, Европе, США и, возможно, в России, скорее всего будет приписана госструктурам.»
Однако, по мнению международного подразделения НАТО по кибербезопасности, до сих пор не ясно, кто именно стоит за атаками.
Заявление NATO CCD COE также может напомнить о том, что кибератаки с последствиями в реальном мире могут привести в действие статью №5 Североатлантического договора, предусматривающую применение вооруженной силы при нападении хотя бы на одну из стран-участниц Соглашения. «Однако пока нет сообщений о такого рода последствиях», – подвели итог в заявлении Совместного центра передового опыта по кибербезопасности НАТО.