BlackEnergy, oldukça dinamik bir tehdit oyuncusu ve Ukrayna’daki en son saldırılar, siber casusluk faaliyetlerinin yanı sıra gündemlerinde yok edici faaliyetlerin de olduğuna işaret ediyor. Önceleri bir DDoS zararlı yazılım kullanıcısı olan BlackEnergy, kullandığı araçları çok daha geniş bir hale getirdi. Pek çok kez ortaya çıkarılmış olmasına rağmen, BlackEnergy faaliyetlerine devam ediyor ve ciddi bir tehlike oluşturuyor.
2015 yılının ortasından beri, BlackEnergy APT (gelişmiş tehdit) grubu, hedef alınan bir ağdaki bilgisayarlara virüs bulaştırmak için zararlı Excel belgeleri taşıyarak kimlik avcılığı e-postalarını kullanmaya aktif olarak devam ediyordu. Ancak bu yılın Ocak ayında, Kaspersky Lab araştırmacıları, bir BlackEnergy Truva Atıyla sisteme virüs bulaştıran yeni bir zararlı belge keşfetti. Önceki saldırılarda kullanılan Excel belgelerinin aksine, bu bir Microsoft Word belgesiydi.
Belgenin açılmasından sonra, kullanıcıya içeriğin görüntülenebilmesi için makroların etkinleştirilmesini tavsiye eden bir iletişim kutusu sunuluyor. Makroların etkinleştirilmesi, BlackEnergy zararlı yazılımının bulaşmasını tetikliyor.
Bir kurbanın bilgisayarında etkinleştirildikten sonra, bu zararlı yazılım, virüs bulaştırılan makinenin temel bilgilerini komut ve kontrol (C&C) sunucusuna gönderiyor. Bu zararlı program tarafından gönderilen C&C bağlantısı içerisindeki alanlardan biri, kurbanın kimliğine işaret ettiği görülen bir dize içeriyor. Kaspersky Lab araştırmacıları tarafından analiz edilen belge, “301018stb” kimlik tanımlayıcısını içeriyordu ve burada “stb”, Ukraynalı TV istasyonu “STB”ye işaret ediyordu. Bu TV istasyonu, Ekim 2015 tarihinde BlackEnergy Wiper saldırılarının kurbanlarından biri olmuştu.
Virüsün bulaştırılmasından sonra, ek zararlı modüller de yüklenebiliyor. Kullanılan Truva Atı’nın sürümüne bağlı olarak, bu ek yüklemenin işlevleri, siber casusluktan veri hırsızlığına kadar değişebiliyor.
Kaspersky Lab Global Araştırma ve Analiz Ekibi Yöneticisi Costin Raiu, “Geçmişte BlackEnergy grubunun Ukrayna’da Excel ve PowerPoint belgelerini kullanarak işletmeleri hedef aldığını gördük. Word belgelerinin de kullanılabileceği bekleniyordu, yani bu durum bizim şüphelerimizi doğruluyor. Genel olarak, APT saldırılarında makroların bulunduğu Word belgelerinin kullanımının daha popüler hale geldiğini görüyoruz. Örneğin, yakın zamanda Turla APT grubunun benzeri bir saldırı gerçekleştirmek için makroların bulunduğu belgeleri kullandığını gözlemledik. Bu da bize bu saldırıların pek çoğunun başarılı olduğunu ve bu nedenle popülerliklerinin arttığını düşündürüyor,” şeklinde konuştu.
BlackEnergy APT grubu; 2014 yılında dünyanın dört bir yanında ICS ve enerji sektöründe bulunan kurbanlara karşı SCADA bağlantılı eklentileri devreye sokmaya başladıkları zaman Kaspersky Lab’ın dikkatini çekmişti. Bu da bu grubun Ukrayna’da ICS, enerji, hükümet ve medya sektörlerini hedef aldığını gösteriyor.
