Společnost ESET objevila důkazy, které spojují nechvalně proslulou kybernetickou skupinu TeleBots s Industroyerem, nejnebezpečnějším moderním malwarem zaměřeným na průmyslové řídicí systémy a viníkem masivního výpadku elektřiny v ukrajinské metropoli Kyjev v roce 2016.
Skupina TeleBots se „proslavila“ škodlivým kódem NotPetya, malwarem pro šifrování disků, který narušil globální obchodní transakce v roce 2017. Ten souvisel i s útokem skupiny BlackEnergy, který byl využit v roce 2015 a představoval jeden z prvních případů využití škodlivého kódu, jež způsobil výpadky elektrické energie na Ukrajině. Stalo se tak rok před zásahem „průmyslového“ malwaru Industroyer.
„Spekulace o spojitosti mezi Industroyerem a skupinou TeleBots se objevily krátce poté, co Industroyer zasáhl ukrajinskou rozvodnou síť,“ říká analytik společnosti ESET Anton Cherepanov, který vedl analytické týmy zaměřené na útoky ransomwarů Industroyer a NotPetya. „Neexistoval k tomu ale žádný pádný důkaz – až dosud.“
V dubnu 2018 narazila společnost ESET na novou aktivitu skupiny TeleBots: pokud o nasazení nového backdooru, který ESET detekuje jako Exaramel. Bližší analýzou tohoto škodlivého kódu dospěli výzkumníci k závěru, že tento backdoor je zdokonalenou verzí hlavního backdooru šířícího Industroyer – což je první důkaz, který spojuje Industryoer se skupinou TeleBots.
„Objev Exaramelu potvrzuje, že skupina TeleBots je i v roce 2018 stále aktivní a útočníci neustále vylepšují své nástroje a taktiky,“ uzavírá Cherepanov. „Činnost této skupiny budeme nadále sledovat,“ slíbil.
