Служба безопасности Украины сообщила, что подконтрольная российским спецслужбам хакерская группировка пыталась атаковать Украину при помощь нового компьютерного вируса, представляющего собой обновленную версию бэкдора Industoyer.
На сайте СБУ говорится, что функциональные возможности вируса позволяют удаленно администрировать процессы операционной системы, копировать файлы, следить за действиями пользователя, перехватывать пароли.
Благодаря взаимодействию с известной антивирусной компанией объекты кибератаки удалось установить, локализовать ее последствия и минимизировать киберугрозы инфраструктур органов государственной власти.
Более подробную информацию обнародовала в своем блоге компания ESET, которая и сообщила в правоохранительные органы Украины о новой угрозе.
Эксперты компании зафиксировали попытку развернуть новый бэкдор Win32/Exaramel, который оказался усовершенствованной версией бэкдора Industroyer. Именно этот вирус в декабре 2016 года стал причиной блэкаута в Киеве в декабре 2016 года. Разработала его группа BlackEnergy/TeleBots (иногда также называемая Sandworm). Она же запустила в июне 2017 года вайпер Diskcoder.C (более известный как Petya/NotPetya), поразивший компании по всему миру. "Нулевым пациентом" той эпидемии стали компании, зараженные бэкдором группы TeleBots, в результате компрометации популярного в украинских компаниях бухгалтерского ПО M.E.Doc.
Значительное сходство кода Win32/Exaramel и основного бэкдора Industroyer – первое публично представленное доказательство, связывающее Industroyer с группой TeleBots и, следовательно, с киберкампаниями NotPetya и более ранней атакой BlackEnergy.
Кроме того, открытие Exaramel показывает, что группа TeleBots сохраняет активность в 2018 году, и атакующие продолжают совершенствовать тактику и инструментарий.
Напомним, что США, Великобритания и другие западные страны признали, что хакерская группировка BlackEnergy работает на российское ГРУ.