Ερευνητές ανακάλυψαν ότι σημαντικές κυβερνοεπιθέσεις σχετίζονται μεταξύ τους

Πίσω από το ransomware (Not)Petya και το Industroyer, το πρώτο malware με άμεσες επιπτώσεις σε βιομηχανικά συστήματα, εντοπίζεται μία κοινή ομάδα κυβερνοεγκληματιών.

Η ESET έχει ανακαλύψει στοιχεία που αποδεικνύουν ότι η περιβόητη ομάδα κυβερνοεγκληματιών TeleBots σχετίζεται με το Industroyer, το πιο ισχυρό malware της εποχής μας, που επιτίθεται σε βιομηχανικά συστήματα και ευθύνεται για τη διακοπή ρεύματος στην πρωτεύουσα της Ουκρανίας, το Κίεβο, το 2016.

Η ομάδα TeleBots έκανε επίδειξη των ικανοτήτων της με το κακόβουλο λογισμικό (Not)Petya, που διαγράφοντας αρχεία συστήματος παρέλυσε το 2017 επιχειρησιακές δραστηριότητες σε όλο τον κόσμο. Παράλληλα, η ομάδα κυβερνοεγκληματιών απέδειξε τις σχέσεις της με το BlackEnergy, το οποίο χρησιμοποιήθηκε στην πρώτη διακοπή ρεύματος που προκάλεσε ποτέ malware στην Ουκρανία το 2015, για να ακολουθήσει μετά από ένα χρόνο η διακοπή ρεύματος που προκάλεσε το Industroyer.

«Οι υποψίες για σύνδεση μεταξύ του Industroyer και της ομάδας TeleBots προέκυψαν λίγο μετά την επίθεση του Industroyer στο ουκρανικό δίκτυο ηλεκτρικής ενέργειας», αναφέρει ο Ερευνητής της ESET Anton Cherepanov, επικεφαλής των ερευνών για το Industroyer και το NotPetya. «Ωστόσο, κανένα αποδεικτικό στοιχείο δεν είχε δημοσιοποιηθεί – μέχρι τώρα».

Τον Απρίλιο του 2018, η ESET ανακάλυψε νέα δραστηριότητα της ομάδας TeleBots: την προσπάθεια για ένα νέο backdoor, το οποίο η ESET ανιχνεύει ως Exaramel. Η ανάλυση της ESET δείχνει ότι αυτό το backdoor είναι μια βελτιωμένη έκδοση του αρχικού backdoor Industroyer και πρόκειται για το πρώτο αποδεικτικό στοιχείο που συνδέει το Industroyer με την ομάδα TeleBots.

«Η ανακάλυψη του Exaramel δείχνει ότι η ομάδα TeleBots εξακολουθεί να είναι ενεργή το 2018 και οι κυβερνοεγκληματίες συνεχίζουν να βελτιώνουν τα εργαλεία και τις τακτικές τους», καταλήγει ο Cherepanov. «Θα συνεχίσουμε να παρακολουθούμε τη δραστηριότητα αυτής της ομάδας».