Energiebedrijven in de Oekraïne zijn opnieuw het doelwit van malware geworden, maar het was niet dezelfde malware die eind vorig jaar toesloeg. Eind december raakten systemen van verschillende energiebedrijven met de BlackEnergy-malware besmet.
Uiteindelijk wisten de aanvallers achter deze eerste aanvallen in bepaalde gebieden de stroomvoorziening te verstoren, waardoor 80.000 mensen enkele uren zonder stroom kwamen te zitten. Net als bij de aanvallen in december gebruikten de afgelopen dinsdag waargenomen aanvallen een Excel-bestand dat via e-mail werd verstuurd. Dit Excel-bestand bevat een kwaadaardige macro die gebruikers eerst moeten inschakelen. Als gebruikers dit doen, wordt de malware op het systeem gedownload.
Macrovirussen bestaan sinds het midden van de jaren ’90. Microsoft wijzigde hierop de standaardinstellingen van Office, zodat macro's standaard niet meer worden toegestaan. Middels social engineering proberen aanvallers gebruikers zover te krijgen dat ze de macro's toch inschakelen en zo hun eigen systeem infecteren. In het geval van de aanvallen op de Oekrainese energiebedrijven laat het document weten dat het in een nieuwere versie van Microsoft Office is gemaakt en macro's moeten worden ingeschakeld om de inhoud van het document weer te geven.
Het Oekraïense Computer Emergency Response Team (CERT-UA) waarschuwde vorig jaar al op de eigen website voor het gevaar van macro's en heeft opnieuw een waarschuwing voor de nu gebruikte Excel-documenten afgegeven. In het geval gebruikers de macro's inschakelen wordt er een Trojan-downloader gestart, die vervolgens een backdoor op de computer plaatst waarmee de aanvallers volledige controle over het systeem krijgen.
Het Slowaakse anti-virusbedrijf ESET onderzocht de aanval. Onderzoekers hadden verwacht dat de Trojan-downloader wederom de BlackEnergy-malware zou downloaden, maar het bleek om een opensourcebackdoor genaamd GCat te gaan. ESET zegt geen informatie te hebben over wie erachter de aanvallen zitten en adviseert voorzichtig te zijn met het beschuldigen van landen.
Deze posting is gelocked. Reageren is niet meer mogelijk.