GreyEnergy revealed as successor to infamous BlackEnergy APT group

Zuletzt war BlackEnergy im Dezember 2015 als mutmaßlicher Verursacher des ersten, durch einen Cyberangriff ausgelösten Blackouts in die Schlagzeilen geraten. ESET konnte nun den vermutlichen Nachfolger von BlackEnergy identifizieren.

Diese Entdeckung ist Ergebnis unserer Nachforschungen, die wir schon während besagten Blackouts, der 230.000 Menschen ohne Strom ließ, in Gang setzten. Bereits damals entdeckten wir ein weiteres Malware-Framework neben BlackEnergy und nannten es GreyEnergy. Während der vergangenen drei Jahre war BlackEnergy für Angriffe auf Energieunternehmen und weitere attraktive Ziele in der Ukraine und Polen verantwortlich.

Wie auch schon in vorherigen Veröffentlichungen möchten wir unterstreichen, dass die zusammenfassende Bezeichnung „APT-Gruppen“ allein dazu dient, Indikatoren auf technischer Ebene, also Gemeinsamkeiten im Code, den verwendeten C&C-Servern, Abläufen usw. zusammenzufassen. Der Begriff „APT-Gruppe“ ist zudem sehr lose zu verstehen und soll lediglich einer groben Kategorisierung der eben genannten technischen Details dienen. Im Allgemeinen sind wir nicht an den Untersuchungen, welche die Verantwortlichen und die Verbindungen zwischen ihnen identifizieren sollen, beteiligt und werden daher auch keinerlei Vermutungen über die geopolitische Herkunft der Gruppe anstellen.

Bereits mehrfach berichteten wir über die Aktivitäten der Gruppe TeleBots, einer Untergruppe von BlackEnergy, die vor allem besonders attraktive Ziele in der ukrainischen Finanzbrancheund dem Logistiksektor der Ukraine anvisiert. Zudem untersuchten wir eine von TeleBots entwickelte Backdoor, die vor allem durch die Ransomware NotPetya bekannt wurde. Gleichzeitig beobachteten wir aufmerksam die Aktivitäten von GreyEnergy. Hierbei handelt es sich um eine Untergruppe von BlackEnergy, die jedoch leicht abweichende Ziele verfolgt.

Unseren Erkenntnissen zufolge ist GreyEnergy bereits seit drei Jahren aktiv. Nichtsdestotrotz wurde bisher noch nicht öffentlich über die Gruppe berichtet. Das könnte darauf zurückzuführen sein, dass bisher keine Schäden verursacht wurden – ganz im Gegensatz zu den zahlreichen TeleBot-Ransomware-Attacken (nicht nur NotPetya), dem Angriff auf Energieinfrastrukturen durch BlackEnergy oder der durch Industroyer ausgelöste Blackout, welchen wir letzte Woche erstmalig eindeutig BlackEnergy zuschreiben konnten. Die Akteure von GreyEnergy hielten sich jedoch bisher sehr bedeckt. Sie beschränkten sich vor allem auf Aufklärungs- und Spionageangriffe – vermutlich, um Informationen für spätere eigene Sabotagekampagnen oder Material für andere APT-Gruppen zu sammeln.

Das Framework von GreyEnergy weist dabei einige Ähnlichkeiten zu dem von BlackEnergy auf: Zunächst ist es sehr ähnlich modular aufgebaut. Was die Malware tatsächlich tut, ist also abhängig von der Kombination der Module, die der Angreifer auf das System des Opfers aufspielt. Bei unseren Untersuchungen fanden wir vor allem Module, die zum Ausspionieren von Daten eingesetzt werden können (Backdoors, Datenextraktoren, Screenshot-Module, Keylogger, Module für den Diebstahl von Passwörtern und Zugangsdaten etc.). Interessanterweise entdeckten wir keinerlei Module, die gezielt industrielle Steuerungssysteme (ICS) ins Visier nehmen. Was wir allerdings beobachten konnten, war, dass GreyEnergy es offensichtlich gezielt auf ICS-Steuerungsrechner mit SCADA-Software und -Servern abgesehen hat. Derartige Rechner sind zentral für Steuerungsprozesse und werden im Allgemeinen nie abgeschaltet.

Links zu BlackEnergy und TeleBots

Doch was genau lässt die Forscher bei ESET vermuten, dass GreyEnergy mit BlackEnergy in Verbindung steht?

Zunächst fiel das Auftauchen von GreyEnergy zeitlich mit dem Verschwinden von BlackEnergy zusammen.
Weiterhin hatte mindestens eines der aktuellen Opfer von GreyEnergy bereits im Visier von BlackEnergy gestanden. Beide Gruppen fokussieren sich auf den Energiesektor und kritische Infrastrukturen. Opfer sind dabei vor allem in der Ukraine und Polen zu finden.
Zusätzlich sind die Malware-Frameworks beider Gruppen sehr ähnlich aufgebaut. Beide sind modular und installieren zunächst eine „abgespeckte“ Backdoor, die vor Erhalt der Adminrechte und dem Deployment der vollständigen Version ausgeführt wird.
Alle C&C-Server, mit denen die GreyEnergy-Malware kommuniziert, sind aktive Knoten im Tor-Netzwerk. Dies war auch bei BlackEnergy und Industroyer der Fall. Vermutlich soll so dafür gesorgt werden, dass die Malware Server unbemerkt kontaktieren kann.

Es gibt jedoch auch einige Unterschiede zwischen BlackEnergy und GreyEnergy. Im Vergleich zum vermutlichen Vorgänger ist GreyEnergy wesentlich moderner und noch besser darin, im Verborgenen zu agieren. Eine der zentralen Methoden, die beide Familien verwenden, ist es, nur ausgewählte Module auf ausgewählte Zielsysteme aufzuspielen – und auch das nur nach Bedarf. GreyEnergy-Module sind zusätzlich teilweise verschlüsselt (mit AES-256) und laufen allein im Speicher („dateilos“). Analyse und Entdeckung werden so noch schwieriger. Um alle verbleibenden Spuren zu verwischen, löschen die Angreifer die Malware schließlich bis auf die letzten Reste vom infizierten System.

Zusätzlich zu den dargestellten Ähnlichkeiten zu BlackEnergy weist GreyEnergy Gemeinsamkeiten mit der TeleBots-Gruppe, einer Untergruppe von BlackEnergy, auf. Im Dezember 2016 konnten wir eine Instanz von GreyEnergy identifizieren, die eine frühe Version von NotPetya, einen durch TeleBots entwickelten Wurm, einsetzte. Ein halbes Jahr später wurde dieser verbessert und war Teil des umfangreichen Ransomware-Angriffs, der unter dem Schlagwort NotPetya Berühmtheit erlangte. Dabei weist der Code der Ransomware-Komponente erstaunliche Ähnlichkeit mit dem Core-Modul von GreyEnergy auf. Wir nennen diese frühe Version „Moonraker-Petya“. Die Bezeichnung stammt von einem im Code verwendeten Dateinamen – vermutlich eine Anspielung auf den James Bond-Film. Nicht enthalten war jedoch der Verbreitungsmechanismus EternalBlue. Dieser war zu diesem Zeitpunkt noch kaum bekannt.

GreyEnergy: Taktik, Techniken und Prozesse

Wir konnten zwei verschiedene Infektionswege beobachten: „Althergebrachtes“ Spearfishing und die Kompromittierung öffentlicher Webserver. Wird ein Webserver intern gehostet und ist er mit dem Rest des Netzwerks der Organisation verbunden, versucht die Malware, sich Rechner für Rechner im Netzwerk auszubreiten. Diese Methodik wird nicht nur für die Erstinfektion verwendet, sondern dient auch als Einfallstor für eine erneute Infektion, sollten die Angreifer den Zugriff verlieren.

Hierbei nutzen sie vor allem interne C&C-Proxys im Netzwerk der Opfer. Diese Proxys leiten alle Anfragen infizierter Knoten im Netzwerk auf einen externen C&C-Server um. Dies verbirgt die Malware noch stärker vor neugierigen Blicken: Wird das Netzwerk auf Unregelmäßigkeiten überprüft, erscheinen Rechner, die mit einem internen Server kommunizieren weniger verdächtig als solche, die nach draußen kommunizieren.

Besonders interessant ist die Tatsache, dass einige der von uns identifizierten GreyEnergy-Samples mit einem Zertifikat von Advantech signiert waren, einem taiwanesischen Hersteller von Hardware und IoT-Hardware und damit augenscheinlich typisches Ziel der Gruppe. Allem Anschein nach waren die Zertifikate vorher entwendet worden, ähnlich wie bei Stuxnet und der gerade bekannt gewordenen Plead Malware-Kampagne.

Zusätzlich zum oben beschriebenen Vorgehen nutzen die Entwickler von GreyEnergy bekannte externe Tools, darunter Mimikatz, PsExec, WinExe, Nmap und einen modifizierten Port-Scanner.

Eine detaillierte Analyse des Toolsets und der Aktivitäten von GreyEnergy finden sich in unserem aktuellen Whitepaper GreyEnergy: A successor to BlackEnergy.

Eine vollständige Liste der IoCs und Samples ist auf GitHub zu finden. Für Fragen, Hinweise und um Samples einzureichen, wenden Sie sich an threatintel@eset.com.