A Kapersky Labs kutatói szerint az eddiginél jóval erősebbé és veszélyesebbé vált a BlackEnergy nevű crimeware. Az angol szakkifejezés olyan számítógépes programokat jelent, amelyeket kifejezetten digitális bűncselekmények automatizálására írnak. Korábban leginkább pénzszerzési célból készültek, ma azonban már számítógépes terroristák és ipari kémek is használják ezt.
A számítógépes bűnözők kedvenc programjának legújabb változata már a hálózati eszközöket is megfertőzheti, és a digitális tanúsítványok ellopására, sőt a számítógépek megbénítására is képes lehet - írja az Ars Technica.
A BlackEnergyt eredetileg az online szolgáltatások és weboldalak normális működését lehetetlenné tevő túlterheléses támadások levezénylésére fejlesztették ki. Később valódi crimeware-fegyvert kovácsoltak belőle, amit elsősorban banki azonosítók megszerzésére használtak a profitra éhes kiberbetyárok. Mostanáig, mert –mint az a Kapersky tanulmányából is kiderült – a felturbózott szoftver ma már kémkedésre is alkalmas: tavaly többek között a NATO, egyes ukrán és lengyel kormányügynökségek, valamint európai vállalatok elleni akciókban is sikerrel vetették be. További aggodalomra adhat okot, hogy a BlackEnergy eme legújabb inkarnációját nem egyszer a Microsoft Windows operációs rendszerének egyik eddig nem ismert sérülékenységét kihasználva telepítették a hackerek.
A Kaspersky szerint a BlackEnergy félelmetesen sokoldalú. Az eredeti szoftvert egy sor kiegészítővel is ellátták, amelyek révén képes arra, hogy a windowsos és linuxos gépeken keresztül DoS-támadásokat indítson, jelszavakat lopjon, a tűzfalak gyenge pontjait keresve portszkennelést hajtson végre, titokban képernyőfelvételeket készítsen, állandó hozzáférést szerezzen az irányító és vezérlő csatornákhoz, és tönkretegye a fertőzött gépek merevlemezeit.
Kurt Baumgartnernek és Maria Garnaevának, az IT-biztonsági cég munkatársainak sikerült hozzájutniuk a crimeware egy olyan változatához, amely ARM- és MIPS-architktúrájú rendszereken is működik (az ARM-alapú processzorokat elsősorban az okostelefonokban és tabletekben, a MIPS-alapúakat pedig hálózati eszközökben és játékkonzolokban használják), és bizonyítékokat találtak arra is, hogy a BlackEnergy egyes, a Cisco Systems által gyártott hardvereket (pl.: a belső hálózatok és az internet forgalmát irányító routereket) is megfertőzhet.
A kutatók számos olyan beépülő modult találtak a szoftverben, amelyekről nem tudták megállapítani, pontosan milyen célt szolgálhatnak. Köztük egy olyan plugint, amely a fertőzött gépek rendszeren belüli azonosítását lehetővé tévő identifikációs kulcsokra és egy olyat is, amely a BIOS-szal, alaplappal és processzorral kapcsolatos adatokra utazik.
„Biztosak vagyunk benne, hogy még nem sikerült összeállítanunk a [BlackList] eszközeinek teljes listáját – írták tanulmányukban a kutatók. – Egyelőre például a routerekhez való hozzáférést biztosító bővítményét sem sikerült megszereznünk, de biztosak vagyunk benne, hogy létezik.”
A BlackEnergyt eddig legalább húsz ország – köztük Oroszország, Németország, Belgium, Törökország, Líbia és Vietnám – különféle intézményei vállalatai ellen vetették be. Egy azonosítatlan áldozat gépét például egy adathalász akció keretében fertőzték meg, és miután az ismeretlen hackerek rájöttek, hogy a felhasználó észlelte a támadást, azonnal aktiválták azt a modult, amely véletlenszerű adatokkal írta tele és így használhatatlanná tette a merevlemezt.
A múlt héten az Egyesült Államok Belbiztonsági Minisztériumának egyik számítógépes bűnözéssel foglalkozó csoportja, az ICS-CERT hívta fel a figyelmet arra, hogy az ipar rendszereket komolyan veszélyeztethetik egyes, kivételesen kifinomult informatikai arzenállal operáló hackercsoportok. Köztük a Sandworm-csoport, amely a NATO elleni támadásokért is felelős lehet.