Az ESET biztonsági cég jelentette be, hogy a múlt hónapban detektált kibertámadás után – mely részleges leállást is okozott egyes régiókban – január 19-én újabbakat fedeztek fel, ám most nem a BlackEnergy nevű malware-rel hajtották ezeket végre, hanem egy nyilvánosan hozzáférhető, nyílt forrású backdoort használtak a támadók.

A támadás menete hasonló a korábbihoz: a behatolók először egy adathalász e-mail mellékletében egy kártékony makrót tartalmazó XLS-fájlt küldtek el a kiszemelt célpontoknak. A mellékletben igyekeztek rávenni a címzettet, hogy hagyja figyelmen kívül a Microsoft Office beépített biztonsági rendszerének figyelmeztetését (kb.: „ezt a dokumentumot az Office újabb verziójával készítettük, és a makró futtatása szükséges a tartalom megtekintéséhez”). Ha sikerrel jártak, és a felhasználó elindította a makrót, akkor a downloader letöltötte a kártékony kódot a támadók szerveréről, és megfertőzte a gépet. A szervert lokalizálták, Ukrajnában található, de az ukrán CERT figyelmeztetése után deaktiválták.

[+]

Az ESET szakemberei itt is a BlackEnergyre számítottak, de az elemzés kimutatta, hogy másról van szó: egy nyílt forrású, Python nyelven írt GCat backdoor módosított változatára leltek rá.

Ez a malware képes végrehajtható kódokat, illetve végrehajtható shell-parancsokat letölteni, de emellett tud képernyőképeket készíteni, rögzíteni a billentyűleütéseket, vagy fájlokat feltölteni. A backdoort egy Gmail-fiók segítségével irányítják, így nehéz kiszűrni a hálózati forgalomból a tevékenységet.

A szakértők két problémára hívják fel a figyelmet a támadásokkal kapcsolatban. Habár tapasztalataik szerint valóban a decemberi volt az első vírustámadás, mely egy energiaszolgáltatásban üzemzavart idézett elő, de azt nem tudni, hogy vajon maga a vírus okozta-e a leállásokat, vagy pedig mindez közvetetten történt („lehetővé tette a leállást”). Ezt még vizsgálják, de annyi bizonyos, hogy a malware-ek segítségével a támadók távolról be tudtak avatkozni a megfertőzött rendszerekbe.

A másik gond az, hogy a sajtó szinte tényként kezeli, hogy az orosz állam áll a támadások mögött, ám erre a szakemberek szerint egyelőre még semmiféle bizonyíték nincs.