Amikor egy Word dokumentum miatt sötétül el minden

Akár egyetlen Word vagy Excel fájl is nagy veszélyt jelenthet még a legkomolyabb védelmi arzenállal körülbástyázott kritikus infrastruktúrákra is.
 

Az elmúlt egy hónapban több biztonsági cég is kiemelten foglalkozott azzal a BlackEnergy nevű kártékony programmal, amely legutóbb Ukrajnában okozott komoly fennakadásokat. 2015. december 23-án néhány órára közel 700 ezer ember maradt áram nélkül az ukrajnai Ivano-Frankivsk régióban. Az ESET már akkor észrevette, hogy ez nem egy elszigetelt jelenség volt, ugyanis több más áramszolgáltató is célkeresztbe került. Természetesen az incidenst az ukrán CERT is alaposan kivizsgálta, és megállapította, hogy ez esetben a kiberbűnözők a BlackEnergy segítségével egy KillDisk nevű trójai programot igyekeztek bejuttatni a hálózatokba. Ha egy rendszer ezzel a károkozóval megfertőződött, akkor nem egy esetben már csak a teljes újratelepítés segített.

Az ukrán incidens után nagyon felkapott téma lett a BlackEnergy. Persze nem véletlenül, hiszen egyre több jel utal arra, hogy egy meglehetősen gyorsan fejlődő, és korántsem csak ukrán cégeket, szolgáltatókat veszélyeztető szerzeményről van szó. A malware a felépítésének és funkcionalitásának köszönhetően jól megállja a helyét az APT (Advanced Persistent Threat) típusú fenyegetettségekre épülő támadásokban. 

Az eddig napvilágra került jelentések alapján nem lehet egyértelműen kijelenteni, hogy a BlackEnergy mögött egy vagy több kiberkémkedésre specializálódott csoport áll-e. Az azonban biztos, hogy a malware egyre kifinomultabb módszerekkel ostromolja az informatikai rendszereket. Továbbra is az energetikai vállalatok, valamint azok a szervezetek vannak a legnagyobb veszélynek kitéve, amelyek ICS/SCADA vezérlőrendszereket is működtetnek.

Az Office a kedvenc

A BlackEnergy különféle variánsainak legszembetűnőbb jellemzője, hogy Office dokumentumok segítségével igyekszik beférkőzni a rendszerekbe. Volt már rá példa, hogy Word, Excel, illetve PowerPoint állományok révén jutott be egy-egy hálózatba általában elektronikus levelek mellékleteként. Amikor egy ilyen küldemény megérkezik, és a felhasználó megnyitja a csatolmányt, akkor - alapértelmezett Office beállítások mellett - egy figyelmeztetés jelenik meg, miszerint makrók futtatását kéri a dokumentum. 
A csalók különféle megtévesztő trükkökkel megpróbálják elérni, hogy a felhasználó engedélyezze a makrókat. Ugyanakkor már az is előfordult, hogy speciálisan összeállított fájlok révén különböző Office sérülékenységeket igyekeztek kihasználni. Ebből a szempontól érdemes figyelni a 2014 októberében feltárt OLE (CVE-2014-4114) sebezhetőségre, amit a Microsoft már akkor javított. Viszont ha egy rendszer nem naprakész a biztonsági frissítések szempontjából, akkor az könnyen komoly károkhoz vezethet.

Fertőzés több lépésben

A BlackEnergy legutóbbi variánsa január 20-án került napvilágra, amikor egy online biztonsági szolgáltatás hálóján akadt fent. Hamar kiderült, hogy a legelterjedtebb víruskeresők körében meglehetősen kicsi a felismerési aránya. Ez esetben egy vba_macro.exe fájl kerül a számítógépekre a makrók által, de ez még nem a BlackEnergy kódját tartalmazza. A malware egy következő lépésben jut fel a PC-re a vba_macro.exe hathatós közreműködésével.

"Jelenleg két opció van a támadások végrehajtására. Vagy a célpontba került számítógép nem megfelelően frissített, vagy a felhasználó véletlenül vagy akár szándékosan megnyitja a fertőzött dokumentumot, és ezzel útjára engedi a károkozót a hálózatban. A szóban forgó informatikai környezetekben elég valószínűtlen, hogy nincs fent a számítógépeken egy 2014-es frissítés, ezért az emberi tényezőknek van nagyobb szerepük" - nyilatkozta Udi Shamir, a SentinelOne biztonsági igazgatója utalva arra, hogy a biztonságtudatosság fokozása nélkülözhetetlen.