نوع الفيروس: برنامج تجسس، تهديد مستعصٍ متقدم، حصان طروادة
إنّ BlackEnergy عبارة عن حصان طروادة يُستخدم لإجراء هجمات DDoS والتجسس الإلكتروني وهجمات تدمير المعلومات. في العام 2014 (تقريبًا) بدأت مجموعة معينة من المتطفلين المستخدمين لـ BlackEnergy في نشر مكونات إضافية متعلقة بـخوادم SCADA للضحايا في مجال أنظمة التحكم الصناعي (ICS) وأسواق الطاقة حول العالم. مما يدلّ على أنّ هذه المجموعة تتقن سلسلة فريدة من المهارات ذات مستوى أعلى من معدل متقني شبكة بوت نت DDoS.
ومنذ منتصف العام 2015، شرعت مجموعة تهديدات BlackEnergy المستعصية المتقدمة في استخدام رسائل تصيّد احتيالية بالحربة تتضمن مستندات Excel ضارة فيها وحدات ماكرو لإصابة الحواسيب المتصلة بالشبكة المستهدفة. لكن في شهر يناير من العام الحالي، اكتشف باحثو Kaspersky Lab مستندًا ضارًا جديدًا، يصيب النظام مستخدمًا حصان طروادة BlackEnergy. وخلافاً لمستندات Excel المستخدمة في الهجمات السابقة، استُعين بمستند Microsoft Word.
وبمجرد فتح المستند، يظهر للمستخدم مربع حوار يوصي بتمكين وحدات الماكرو لعرض المحتوى. ويؤدي تمكين وحدات الماكرو إلى نشر الإصابة ببرنامج BlackEnergy الضار.
يتركز نشاط مجموعة تهديدات BlackEnergy المستعصية المتقدمة في القطاعات التالية:
تنشط المجموعة ضد الهيئات الأوكرانية، لاسيما في قطاع الطاقة والحكومة والإعلام. كما تهاجم شركات ICS/SCADA وشركات الطاقة في أنحاء العالم. يمكن أن تكون عرضةً للخطر إذا كنت تعمل في مؤسسات في هذا المجال أو تملكها أو تتعاون معها.
تكتشف منتجات Kaspersky Lab أحصنة طروادة المتنوعة التي يستخدمها BlackEnergy مثل:
يمكن العثور على مؤشرات الاختراق في منشور مدونة على Securelist.
لا يكفي الاعتماد على حل قياسي لمكافحة البرامج الضارة. لمنع هجوم برنامج BlackEnergy الضار، توصي شركة Kaspersky Lab باستخدام نهجًا متعدد الطبقات يضم:
Kaspersky Endpoint Security for Business Advanced
Kaspersky Cybersecurity Awareness training
Kaspersky Security for Mail Server