ESET о связи группы TeleBots и бэкдора Industroyer

По сообщению компании ESET, обнаружены доказательства, связывающие кибергруппу TeleBots с Industroyer – сложным вредоносным комплексом, нацеленным на АСУ ТП, в том числе для атак на энергетические компании.

В апреле 2018 г. ESET зафиксировала новую активность группы TeleBots – попытку развертывания бэкдора, который антивирусные продукты компании детектируют как Exaramel. В результате анализа установлено, что Exaramel является доработанной версией основного бэкдора Industroyer. Это первое доказательство, связывающее Industroyer с TeleBots.

Наиболее резонансным инцидентом с участием TeleBots стала эпидемия шифратора NotPetya летом 2017 г., от которой пострадали компании по всему миру. Ранее установлена связь данной кибергруппы с атаками 2015 г., нацеленными на украинские энергетические предприятия и другие объекты, с применением вредоносного ПО BlackEnergy.

В июне 2017 г. ESET представила исследование вредоносного ПО Industroyer, предназначенного для нарушения критических процессов в промышленных системах управления, в частности, в энергокомпаниях. Подобное ПО могло стать причиной сбоя энергоснабжения в Киеве в декабре 2016 г.

Как поясняют в ESET, предположения относительно связи Industroyer с группой TeleBots появились вскоре после того, как Industroyer попала в энергосистему Украины, но доказательств до настоящего времени представлено не было. Открытие Exaramel показывает, что группа TeleBots сохраняет активность и продолжает совершенствовать тактику и инструментарий.