شرکت ضدویروس Kaspersky گزارشی منتشر کرده است که در آن، تعدادی از ابزارهای جانبی که این گروه برای بدافزار BlackEnergy طراحی و ساخته اند، تشریح شده اند. بدافزار BlackEnergy ابتدا توسط گروهی از مجرمان سایبری برای انجام حملات “از کاراندازی سرویس” یا Denial of Services تهیه و بکار گرفته شده بود.
این گروه جاسوسی سایبری افزونه (plug-in)های مختلفی را برای بدافزار BlackEnergy تهیه کرده اند که در محیط های Linux و Windows کاربرد دارند. این افزونه ها امکانات گوناگونی به بدافزار اضافه می کنند. امکاناتی نظیر سرقت گواهینامه های دیجیتالی، دسترسی از راه دور، پاک کردن دیسک های سخت، رصد درگاههای مختلف، سرقت رمزهای عبور و …
مرکز کنترل و فرماندهی BlackEnergy متناسب با نوع قربانی و حملات مورد نظر، افزونه های لازم را به سیستم های آلوده به بدافزار BlackEnergy ارسال می کند. در یک مورد که کارشناسان Kaspersky شاهد آن بودند، یک افزونه به نام dstr توسط بدافزار دریافت شد و به فاصله کوتاهی بعد از آن، تمام اطلاعات دیسک سخت پاک و از بین برده شد. به نظر می رسد که گردانندگان BlackEnergy پس از اطلاع از اینکه سیستم آلوده تحت نظر و کنترل می باشد، برای از بین بردن رد پای خود، اقدام به چنین کاری کرده اند.
در مواردی نیز مشاهده شده که بدافزار دسترسی telnet به روترهای Cisco را مختل کرده است. بررسی های بیشتر، وجود افزونه مخربی به نام farewell را بر روی روترها نشان داده است. از این افزونه برای پاک کردن تنظیمات و فعالیت های بدافزار از روی روتر استفاده می شده است.
همانگونه که در خبر “بدافزاری علیه سامانه های کنترل صنعتی” در وبلاگ شبکه گستر آمده است، بدافزار BalckEnergy مدتهاست که سامانه های کنترل صنعتی را که به اینترنت متصل هستند، مورد حمله قرار داده و با ایجاد یک درب مخفی (Backdoor) دسترسی غیرمجاز به سیستم ها و ماشین های صنعتی داشته است.
چندین شرکت صنعتی که همکاری نزدیکی با گروه واکنش رخدادهای رایانه های آمریکا (US-CERT) دارند، بدافزار BlackEnergy را بر روی نرم افزار کاربردی HMI یا Human-Machine Interface در سامانه های کنترل صنعتی متصل به اینترنت خود یافته و شناسایی کرده اند.
HMI نوعی نرم افزار کاربردی است که یک صفحه رابط گرافیکی برای مدیریت و کنترل ماشین های صنعتی در اختیار کاربر می گذارد. این نوع نرم افزارها بخشی از سامانه SCADA یا Supervisory Control & Data Acquisition هستند که در محیط های صنعتی بکار می روند.
اخیراً یک گروه نفوذگر روسی از همین بدافزار BlackEnergy جهت رخنه و نفوذ به مراکز نظامی NATO و شرکتهای نفتی و مخابراتی بین المللی استفاده کرده اند. در این حملات نفوذی از یک نقطه ضعف تاکنون ناشناخته (Zero-day Vulnerability) در سیستم عامل Windows سوء استفاده شده بود. شرکت مایکروسافت این نقطه ضعف را با اصلاحیه های ماه اکتبر ترمیم و برطرف کرد.