Mã độc BlackEnergy APT có thể tạo ra các cuộc tấn công APT trên cả windows và linux

Được biết đến do được sử dụng trong các hoạt động gián điệp không gian mạng cũng như trong các chiến dịch thúc đẩy tài chính, mối nguy hiểm từ các cuộc tấn công APT BlackEnergy có một cơ sở hạ tầng toàn vẹn đằng sau và một nhóm chuyên nghiệp, được gọi là Sandworm, tùy chỉnh các chức năng cho một nhiệm vụ nhất định.

Phần mềm độc hại đã được sử dụng cho một số cuộc tấn công có chủ đích, một trong những cuộc tấn công gần đây nhất tận dụng một lỗ hổng zero-day trong Windows để chống lại các tổ chức khác nhau, từ NATO và các tổ chức chính phủ ở Ukraine, Tây Âu cho đến các công ty viễn thông và các lĩnh vực năng lượng.

Công cụ DDoS cho hệ thống ARM

Các nhà nghiên cứu bảo mật tại Kaspersky đã phân tích các công cụ và các tập tin cấu hình khác nhau của phần mềm độc hại, Kaspersky đã trình bày phát hiện của họ trong một báo cáo vào hôm thứ hai, cho thấy một loạt các plugin tùy chỉnh được tạo ra cho các mối đe dọa  thực hiện các hoạt động độc hại trên cả hai hệ thống Windows và Linux.

Sau khi giành được quyền kiểm soát các máy chủ (C&C), các nhà nghiên cứu cũng phát hiện ra một tập tin cấu hình bao gồm các module đánh cắp mật khẩu từ một số giao thức mạng (SMTP, POP3, IMAP, HTTP, FTP, Telnet), gửi phần mềm độc hại và triển khai tấn công DDoS (tấn công từ chối dịch vụ).

Điều thú vị là, plug-in DDoS, “weap_hwi,” đã được biên soạn để chạy trên các hệ thống ARM, trong đó bao gồm hầu hết các hệ điều hành di động (iOS, Android, Windows Phone, BlackBerry, Firefox OS).

Module được thiết kế với kiến ​​trúc Linux cũng chứa các chức năng cho phép quét các cổng, đăng nhập IP nguồn và đích, giao tiếp với C&C để tải các plug-in khác hoặc cập nhật.

Trong số các lệnh có sẵn, các nhà nghiên cứu phát hiện ra rằng những kẻ tấn công có khả năng xóa tất cả các dấu hiệu lây nhiễm phần mềm độc hại từ các hệ thống bị ảnh hưởng và sau đó khởi động lại máy.

Không phải tất cả các plug-in đều được tìm thấy, IP Bộ Quốc phòng Nga được tìm thấy trong số các mục tiêu

]Sandworm mở rộng khả năng cho phép tìm kiếm các loại tập tin cụ thể, chụp ảnh màn hình, trải rộng trên các mạng mục tiêu, chạy phiên máy tính để bàn từ xa, lây nhiễm các tập tin, đăng nhập lưu lượng truy cập, ghi đè lên các thông tin trên đĩa cứng, đăng nhập tổ hợp phím mở rộng và thu thập thông tin chi tiết về hệ thống (BIOS, thiết bị kết nối USB) và mạng.

Mặc dù danh sách các plug-in được thu thập từ các máy chủ C&C là rất lớn, các nhà nghiên cứu có bằng chứng cho thấy sẽ còn nhiều hơn plug-in tồn tại.

Trong khi phân tích, họ thấy một công cụ gọi là “GRC” thường được sử dụng để phân tích cú pháp HTML. Phần bổ sung là một ID Google Plus được cung cấp, trong đó có hơn 76 triệu lượt xem tại thời điểm viết. Các nhà nghiên cứu giải thích rằng công cụ tải và giải mã hình ảnh PNG có thể chứa một địa chỉ máy chủ C&C mới nhưng hiện tại chưa tìm được thông tin này.

Dựa trên các lệnh họ quan sát, Kaspersky cho rằng có một plug-in dùng để truy cập vào các bộ định tuyến là có sẵn. Họ tìm thấy hai địa chỉ IP chủ đích dành cho DDoS, một thuộc Bộ Quốc phòng Nga và cái kia cho trang web chính phủ  của Bộ Nội vụ Thổ Nhĩ Kỳ.

Softpedia