Ряд украинских энергетических компаний подвергается новым кибератакам после декабрьских инцидентов, которые привели к кратковременному отключению электричества у десятков тысяч абонентов. Специалисты по информационной безопасности компании iSight Partners связали декабрьские атаки с группировкой Sandworm, известной своей деятельностью в интересах России. Но в новых атаках, по сведениям компании Eset, используется совсем другой вредонос — модифицированный вариант «черного входа» с открытым кодом gcat, доступного на github.
По данным Eset, вредонос, использовавшийся для новых атак, загружается, когда жертва открывает приложенный к фишинговому письму файл Excel, — в нем содержится соответствующий вредоносный скрипт. Контролируется «черный вход» с помощью писем, отправляемых с аккаунта Gmail, поэтому, по словам специалистов Eset, отследить управляющий трафик в сети трудно.
Исследователи отмечают, что от хакеров, работающих на правительство, трудно ожидать использования свободно доступного вредоноса, но с другой стороны, это могло быть сделано специально, чтобы сбить с толку тех, кто попытается расследовать ситуацию.