El grupo de ciberdelincuentes que atentó contra las centrales eléctricas de Ucrania y dejó sin luz a más de 230.000 personas en diciembre de 2015 ha sido observado por el laboratorio de ESET desarrollando un nuevo arsenal de herramientas para atentar contra nuevos objetivos críticos
ESET, el mayor fabricante de software de seguridad de la Unión Europea, ha descubierto al sucesor del grupo de ciberdelincuentes BlackEnergy. En esta ocasión, GreyEnergy –tal y como se ha denominado al grupo desde el laboratorio de la compañía- tiene como objetivo el espionaje y el reconocimiento de posibles víctimas, muy probablemente en preparación de nuevos cibersabotajes.
BlackEnergy ha atemorizado a la población ucraniana desde que en diciembre de 2015 causara un apagón eléctrico que afectó, en pleno invierno, a más de 230.000 personas en lo que se conoció como el primer cibersabotaje contra una central eléctrica. Ya en aquel momento, el laboratorio de ESET descubrió los primeros movimientos de otro grupo y lo llamó GreyEnergy.
“Hemos comprobado cómo GreyEnergy ha estado involucrado en ataques a compañías eléctricas y a otros objetivos sensibles tanto en Ucrania como en Polonia en los últimos tres años”, asegura Anton Cherepanov, el analista de ESET que ha llevado a cabo la investigación.
El ataque a las infraestructuras eléctricas ucranianas es la operación más reciente llevada a cabo por BlackEnergy, pero los investigadores de ESET han documentado también las actividades de otro grupo APT, Telebots, responsable de NotPetya, el malware que limpiaba el disco duro de las empresas atacadas y que afectó a organizaciones de todo el mundo en 2017. Tal y como ESET informó la semana pasada, Telebots está conectado con Industroyer, el malware más potente del momento, que ha afectado a los sistemas de control industrial y que podría estar detrás del segundo apagón masivo en Ucrania, acontecido en 2016.
“GreyEnergy comparte muchas características de Telebots, pero sus actividades no se limitan a Ucrania y, al menos de momento, no ha actuado, pero está claro que está buscando cómo hacerlo sin ser descubierto”, continúa Cherepanov.
De acuerdo con las conclusiones de la investigación de ESET, GreyEnergy está íntimamente ligado a BlackEnergy y a Telebots debido a su construcción modular que provoca que sus funcionalidades dependan de combinaciones particulares en los sistemas de las víctimas. En esta ocasión, los módulos descritos por los investigadores de ESET se utilizaban para realizar labores de espionaje y reconocimiento e incluyen backdoor, extracción de archivos, realización de pantallazos, keylogs y robo de credenciales y contraseñas, entre otros.
“No hemos encontrado ningún módulo que ataque específicamente a los sistemas de control industrial, pero sí que los operadores han tenido como objetivos estratégicos a estaciones de trabajo con servidores y software SCADA”, explica Cherepanov. El descubrimiento de ESET es muy importante para que las organizaciones puedan defenderse de esta amenaza en particular, así como para entender las tácticas, las herramientas y los procesos que llevan a cabo los grupos que realizan ataques APT.
*Cuando los investigadores de ESET describen los ciberataques y los seguimientos a los grupos de cibercriminales está señalando conexiones basadas en indicadores técnicos como coincidencias en el código, infraestructuras de comando y control, cadenas de ejecución de malware y otras evidencias técnicas. ESET no está vinculado a investigaciones en el terrero de la legalidad vigente ni atribuye las acciones descritas a ningún estado en particular.