2016-ųjų antrąjį pusmetį ESET tyrėjai nustatė unikalų kenksmingų priemonių rinkinį, kuris buvo panaudotas kibernetinėse atakose prieš Ukrainos finansinio sektoriaus įstaigas. Saugumo tyrėjai tikina, kad pagrindinis nusikaltėlių tikslas buvo kibernetinis sabotažas.
Kaip buvo nustatyta, kenkėjus platino programišių grupuotė „TeleBots“. Įdomu tai, kad grupuotės veikla, kaip ir jos naudotas kenksmingų priemonių rinkinys, turi panašumų su „BlackEnergy“ grupe, rengusia atakas prieš Ukrainos elektros energijos tiekimo įmones 2015 m. gruodį ir šių metų sausį. Neatmetama versija, kad „BlackEnergy“ programišių grupuotė paprasčiausiai išaugo į „TeleBots“.
Kaip ir „BlackEnergy“ atakų atveju, „TeleBots“ naudojo tikslinius sukčiavimo laiškus su prisegtais „Microsoft Excel“ dokumentais, turinčiais kenksmingas makro komandas. Tik šįkart nebuvo pasitelkta socialinė inžinerija, primygtinai raginanti vartotojus paspausti mygtuką „Įgalinti turinį/Enable Content“. Programišiai tiesiog pasikliovė vartotojų naivumu.
„Kai vartotojas atidaro programišių atsiųstą laišką bei jame prisegtą dokumentą, ir jam nekyla įtarimų, kad tai yra sukčiavimo ataka, didelė tikimybė, kad jis paspaus mygtuką „Įgalinti turinį“ ir be jokių raginimų, nes paprasčiausiai norės pamatyti visą dokumento turinį“, – aiškina ESET saugumo sprendimus platinančios įmonės „Baltimax“ pardavimų vadovas Deividas Pelenis.
Vartotojui įgalinus failo turinį, „Excel“ paleidžia kenksmingą makro komandą. ESET tyrėjai nustatė, kad „TeleBots“ panaudotas makro komandos kodas sutampa su tuo, kurį 2015 m. naudojo „BlackEnergy“. Vėliau į kompiuterį atsiunčiamas galinių durų trojanas „Python/TeleBot.AA“, ir taip programišiai gauna prieigą prie svarbių duomenų ar sistemų.
Tyrimas atskleidė, kad kibernetinių nusikaltėlių grupuotė „TeleBots“ naudojo įvairius kenksmingus įrankius, renkančius slaptažodžius iš skirtingų interneto naršyklių, tokių kaip „Google Chrome“, „Internet Explorer“, „Mozilla Firefox“ ir „Opera“. Be to, buvo naudojamos programos, leidžiančios siųsti ir gauti duomenų srautus, rinkti duomenis apie kompiuterį ir t. t.
Kibernetinę ataką vainikuodavo kenkėjas „KillDisk“, kuris ištrina svarbius sisteminius failus, būtinus operacinės sistemos įkrovai, ir perrašo failus su specifiniais plėtiniais. Vietoj ištrintų failų „KillDisk“ gali sukurti naujus failus su tais pačiais pavadinimais, tačiau juose tebus viena iš dviejų frazių – „mrR0b07“ arba „fS0cie7y“. ESET tyrėjų analizuotas kenkėjo variantas užkrėsto kompiuterio ekrane dar parodo paveiksliuką su užrašu „We are fsociety. Join us“.
