ESET, le géant mondial de la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, a découvert un nouveau groupe de cybercriminels qui pourrait bien être un successeur du célèbre groupe APT BlackEnergy.
Baptisé GreyEnergy par les chercheurs ESET, celui-ci semble mener actuellement des opérations de reconnaissance et d’espionnage, très probablement en préparation de futures cyberattaques.
Le groupe BlackEnergy est actif en Ukraine depuis plusieurs années, et il s’est notamment fait connaître en décembre 2015 lorsqu’il a privé 230 000 personnes d’électricité dans ce qui est reconnu comme le tout premier cyber-blackout de l’histoire. Mais a peu près au même moment, les chercheurs ESET détectaient en parallèle un second groupe, similaire, qu’ils baptisaient alors GreyEnergy.
L’attaque de 2015 contre l’infrastructure électrique ukrainienne est la dernière opération connue dans laquelle l’arsenal numérique du groupe BlackEnergy APT a été utilisé. Mais peu après, les chercheurs ESET identifiaient et documentaient le sous-groupe APT TeleBots.
TeleBots est désormais plus connu pour être à l’origine de l’épidémie mondiale de NotPetya, le malware destructeur de disques durs qui a perturbé de grandes entreprises mondiales en 2017 et causé à lui seul plusieurs milliards de dollars de dégâts. Mais comme l’ont déterminé les chercheurs ESET, TeleBots est également à l’origine du malware Industroyer, le code malveillant le plus avancé à ce jour ciblant les systèmes de contrôle industriels. Il est notamment responsable du second cyber-blackout qui a frappé la capitale Ukrainienne en 2016.
Selon l’étude détaillée menée par les chercheurs ESET, le malware déployé par GreyEnergy est très proche de ceux mis en œuvre par BlackEnergy et TeleBots. Il est modulaire, et donc ses fonctionnalités précises dépendent de l’association de modules choisie par ses opérateurs au moment d’infecter leur victime.
Rappelons, en ce sens, que Les modules documentés dans l’analyse d’ESET sont destinés à des opérations d’espionnage et de reconnaissance, et ils peuvent notamment comprendre des portes dérobées, de l’extraction de fichiers, la prise de captures d’écran, un keylogger, le vol de mots de passe et d’autres identifiants, etc.
La découverte et l’analyse des méthodes de GreyEnergy par les chercheurs ESET est une étape importante dans la mise en place de protections efficaces contre cet acteur malveillant en particulier, mais aussi dans la compréhension des tactiques, des outils et des procédures (TTPs) des groupes APT les plus avancés.
Articles similaires:
ESET Security Day de Tunis 2019 : une journée pour faire le point sur la cybersécurité 
Sur PC ou Android, ESET protège les particuliers des menaces d’internet 
Tendance 2019 : pas de répit pour le cryptojacking, prévient ESET 
ESET identifie un malware utilisant une technique d’installation innovante et inédite
