Ferramenta de ataque cibernético BlackEnergy crimeware pode atacar sistemas Linux , Windows e roteadores Cisco

Pesquisadores de segurança da Kaspersky Lab desenterraram novas capacidades na arma BlackEnergy crimeware que tem agora capacidade de hackear  roteadores , sistemas Linux e Windows, tendo como alvo a indústria por meio de dispositivos de rede Cisco.

Pesquisa e Análise Global Team do fornecedor de antivírus divulgou um relatório detalhando segunda-feira alguns dos novos " relativamente desconhecidas capacidades plug-in personalizado "que o grupo de espionagem cibernética desenvolveu para BlackEnergy para atacar dispositivos de rede Cisco e alvo plataformas ARM e MIPS.

O malware foi atualizado com plugins personalizados incluindo Ciscoapi.tcl que tem como alvo kit do Borg, e de acordo com os pesquisadores, a versão atualizada continha vários invólucros sobre Cisco Exec-comandos e " uma mensagem gorducho para Kaspersky , "onde se lê:" F * UCK U , Kaspersky !!! U nunca obter um novo B1ack En3rgy. Assim, graças C1sco 1TD para embutido backd00rs & 0-dia. "

Programa de malware BlackEnergy foi originalmente criado e usado por cibercriminosos para lançar Distributed Denial-of-Service (DDoS). O desenvolvedor do malware então adicionado alguns plugins personalizados usados ​​para canalizar informações bancárias.

Mais recentemente malwares BlackEnergy foi observada em alegados ataques patrocinados pelo Estadovisando a Organização do Tratado do Atlântico Norte (OTAN) , as agências governamentais ucranianos e poloneses, e uma variedade de indústrias europeias sensíveis ao longo do último ano.

Agora, a espionagem cibernética grupo aprimorou o programa de malware que também tem os recursos como varredura de portas, roubo de passwords, a coleta de informações do sistema, o roubo de certificado digital, conectividade de desktop remoto e limpeza de disco rígido e destruir mesmo.

No caso, se a vítima sabia da infecção BlackEnergy em seu sistema, o atacante ativa " dstr ", o nome de um plugin que destrói discos rígidos, substituindo-os com dados aleatórios. A segunda vítima foi comprometida usando credenciais VPN tomadas a partir da primeira vítima.

Os pesquisadores de segurança, Kurt Baumgartner e Maria Garnaeva , também me deparei com versão BlackEnergy que funciona em sistemas baseados em ARM e MIPS e descobriu que ele tem comprometido dispositivos de rede fabricados pela Cisco Systems.

No entanto, os especialistas não têm certeza com o propósito de alguns plugins, incluindo um que reúne IDs de instância do dispositivo e outras informações em drives USB conectados e outra que coleta informações sobre a BIOS (Basic Input / Output System), placa-mãe e processador de infectados sistemas.

" Temos certeza de que a nossa lista de [BlackEnergy] ferramentas não está completa, "escreveram os pesquisadores. " Por exemplo, ainda temos de obter o plugin de acesso roteador, mas estamos confiantes de que ele existe. As evidências também apoia a hipótese de que existe um plugin de decodificação para arquivos vítima . "

Várias empresas de vítimas não identificadas em diferentes países foram alvo com o malware mais recente BlackEnergy, incluindo as vítimas na Rússia, Alemanha, Bélgica, Turquia, Líbia, Vietnã e vários outros países.

Outro grupo crimeware, a equipe Sandworm , que se acredita ter usado a BlackEnergy exclusivamente ao longo de 2014, sites vítimas e incluiu plugin e os scripts de seu próprio costume. Também no mês passado, a Equipe Sandworm tinha como alvo organizações em todo o mundo em uma campanha de espionagem , e iSight Partners revelou que a equipe usou spêra phishing como o principal vetor de ataque para vitimar seus alvos