GreyEnergy: dat is de naam die beveiligingsbedrijf ESET op de groep plakt die met nieuwe Advanced Persistent Threats (APT's) die "zeer waarschijnlijk" nieuwe doelgerichte cyberaanvallen aan het voorbereiden is. De naam verwijst naar het bestaande BlackEnergy: de groep die Oekraïne al jaren terroriseert en die in december 2015 ook verantwoordelijk was voor de allereerste geslaagde 'blackout' als gevolg van een cyberaanval. Het is rond dat tijdstip dat ESET-onderzoekers ook sporen terugvonden van een ander malware-framework dat dus de naam GreyEnergy draagt.

Gelinkt aan NotPetya

"We hebben gezien dat GreyEnergy de afgelopen drie jaar betrokken was bij eerdere aanvallen op energiebedrijven en andere belangrijke doelwitten in Oekraïne en Polen", zegt Anton Cherepanov, de senior security researcher die bij ESET het onderzoek naar GreyEnergy leidt. Wat extra verontrustend is, is dat volgens de onderzoekers er ook duidelijke linken zijn met TeleBots: een andere APT-groep die naam en faam kreeg door de wereldwijde NotPetya-uitbraak. NotPetya is een bijzonder agressieve malware die volledige schijven wist en die in 2017 bijzonder veel schade aanrichtte. Telebots is op zijn beurt ook verbonden aan Industroyer: de meest krachtige malware die specifiek industriële besturingssystemen viseert. Met succes helaas: de tweede elektrische blackout in Kiev, in 2016, is de verdienste van Industroyer.

GreyEnergy niet beperkt tot Oekraïne

Waarom is dit allemaal zo belangrijk? Omdat de eerste sporen van GreyEnergy te herleiden zijn tot dezelfde periode. "Maar in tegenstelling tot de beter gekende TeleBots-groep, beperkt GreyEnergy zich niet tot de Oekraïne. Voorlopig hebben ze ook nog geen grote schade toegebracht. Ze willen duidelijk onder de radar vliegen", legt Anton Cherepanov uit.

De analyse van GreyEnergy toont een soortgelijke modulaire opbouw als de malware vab BlackEnergy en TeleBots. De functionaliteit hangt dus af van de combinatie van modules die een aanvaller afvuurt op de systemen die hij aanvalt. Zo zijn er modules voor spionage met backdoors, bestandsextractie, een mogelijkheid om screenshots te nemen of aan keylogging te doen tot het stelen van wachtwoorden en tokens toe. Specifieke modules om industriële software aan te vallen heeft ESET niet gevonden. "Maar we zien wel duidelijk dat GreyEnergy-operatoren strategisch aanvallen uitvoeren op werkstations met SCADA-software en servers", aldus nog Anton Cherepanov.