Znaleziony dokument programu Word wabi potencjalne ofiary wzmiankami o nacjonalistycznej ukraińskiej partii „Prawy Sektor" i został najprawdopodobniej wykorzystany w ataku na popularną ukraińską stację telewizyjną. Fachowcy wykryli, że stoją za tym rosyjskojęzyczni hakerzy. BlackEnergy, oprócz włamywania się do przemysłowych systemów kontroli i aktywności szpiegowskiej, koncentruje się również na działaniach destrukcyjnych. – Na początku swojej aktywności gang BlackEnergy korzystał z gotowych narzędzi służących do przeprowadzania ataków DDoS, a następnie rozbudował swój arsenał do szerokiego wachlarza szkodliwych programów. Były one wykorzystywane w różnych działaniach cyberprzestępczych, łącznie z operacjami geopolitycznymi, takimi jak ataki na sektory krytyczne na Ukrainie pod koniec 2015 r. – informuje Kaspersky Lab i ostrzega, że grupa BlackEnergy jest aktywna i stanowi poważne zagrożenie.
– Od połowy 2015 r. cyberprzestępcy ci aktywnie wykorzystują phishingowe wiadomości e-mail zawierające sfałszowane skoroszyty Excela z makrami, które infekują komputery w atakowanych sieciach. W styczniu wykryliśmy jednak nowy rodzaj szkodliwego pliku: dokument Worda infekujący ofiary Trojanem. Po otwarciu szkodliwego dokumentu użytkownik widzi komunikat, że do przeczytania treści niezbędne jest włączenie obsługi makr w programie Word. Wykonanie tej operacji prowadzi do zainfekowania systemu – tłumaczą rosyjscy eksperci.
Po aktywacji w systemie ofiary trojan wysyła podstawowe informacje o zainfekowanej maszynie do swojego centrum kontroli, a jedno z pól tego komunikatu zawiera unikatowy identyfikator zaatakowanego komputera. Dokument przeanalizowany przez Kaspersky Lab zawierał identyfikator 301018stb, gdzie "stb" może odnosić się do ukraińskiej stacji telewizyjnej STB, która została już zidentyfikowana jako ofiara ataku BlackEnergy Wiper w październiku 2015 r.
Podczas dalszego działania trojan pobiera dodatkowe moduły, które w zależności od rodzaju ataku mogą pełnić rozmaite funkcje - od cyberszpiegostwa po niszczenie danych. – W przeszłości obserwowaliśmy ataki grupy BlackEnergy na ukraińskie organizacje z wykorzystaniem dokumentów Excela i PowerPointa. Podejrzewaliśmy, że atakujący stosują także pliki Worda i nasze najnowsze badanie to potwierdziło. Co ciekawe, ostatnio obserwujemy coraz więcej zaawansowanych ataków. Wszystko wskazuje na to, że ataki tego typu są ciągle skuteczne – mówi Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz w Kaspersky Lab.
