GreyEnergy, un nuovo gruppo APT che resta nell’ombra

Il club degli hacker che lanciano sofisticati attacchi APT (Advanced Persistent Threat) si arricchisce di un nuovo elemento, subito battezzato GreyEnergy poiché probabilmente collegato al già famoso gruppo BlackEnergy.

GreyEnergy finora ha cercato di far parlare di sé il meno possibile, sviluppando tool e malware modulari che non hanno payload dannosi, il cui unico scopo per ora è infiltrare società energetiche e di trasporti compiendo silenziosi atti di spionaggio. La telemetria di ESET, l’azienda che per prima ha scoperto il nuovo gruppo, fa risalire le sue prime attività a tre anni fa, ma finora gli hacker si sono mossi così in punta di piedi da risultare quasi invisibili.

Analizzando il codice e il framework delle operazioni però sono emerse molte similitudini con il gruppo BlackEnergy, quelli che nel 2015 hanno tenuto 230.000 persone in Ucraina senza elettricità per sei ore. Sembra che GreyEnergy abbia iniziato a operare poco dopo che gli hacker di BlackEnergy sparissero dalla circolazione, confluendo più tardi nel gruppo APT TeleBots. Per questo motivo si pensa che sia GreyEnergy sia TeleBots (gli autori del malware NotPetya) siano nati dallo stesso gruppo, lavorando poi in parallelo.

Per chiarire le relazioni fra i vari gruppi APT, visto che la situazione si sta facendo sempre più complessa, ESET ha realizzato questa infografica:

Come BlackEnergy, anche GreyEnergy predilige le aziende di fornitura elettrica, prendendo di mira in particolare quelle in Ucraina e in Polonia. Gli hacker hanno concentrato le loro operazioni sui sistemi di controllo industriale (ICS) e SCADA, sistemi mission-critical che controllano il funzionamento delle centrali.

Il codice di GreyEnergy ha caratteristiche stealth più accentuate rispetto al precedessore (qui l’analisi tecnica di ESET). Si ritiene che il gruppo in questi anni abbia rubato informazioni riservate e abbia infiltrato le aziende energetiche in preparazione di attacchi futuri.

In passato le attività cibernetiche contro le infrastrutture critiche ucraine sono state attribuite alla Russia. Malgrado ESET non si sbilanci sull’attribuzione della nazionalità di GreyEnergy, altri puntano chiaramente il dito contro Mosca, tanto che il portavoce del Cremlino Dmitry Peskov ha dichiarato a Reuters che non ci sono prove a supporto delle accuse contro i servizi segreti militari (il GRU), e che la Russia non compie cyber-attacchi contro altre nazioni.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.