Onderzoekers hebben malware ontdekt die systemen met Windows en Linux kan aanvallen, alsmede routers van Cisco. Het gaat om een variant van de BlackEnergy-malware, waarvan eerdere versies voor het uitvoeren van DDoS-aanvallen werden gebruikt. De nieuwste versies worden als BlackEnergy2 en BlackEnergy3 aangeduid en zouden inmiddels ook door cyberspionnen voor het stelen van vertrouwelijke gegevens worden ingezet, zo meldt het Russische Kaspersky Lab.

BlackEnergy2 beschikt over allerlei plug-ins waardoor de malware voor allerlei doeleinden is te gebruiken. Het gaat onder andere om het stelen van wachtwoorden en certificaten, scannen van poorten, het wissen van de harde schijf, het maken van screenshots, het verzamelen van informatie over aangesloten USB-apparaten en de BIOS en het uitvoeren van DDoS-aanvallen.

Verspreiding

Om de malware te verspreiden gebruiken de aanvallers verschillende methodes. Zo werd bij één slachtoffer een beveiligingslek in het archiveringsprogramma WinRAR gebruikt. Hierdoor was het mogelijk om bestanden in zip-bestanden een andere naam en bestandsextensie te geven. Zodoende was het mogelijk om een exe-bestand te vermommen als een niet-uitvoerbaar bestand.

Een tweede aangevallen organisatie werd via gestolen VPN-inloggegevens gehackt. De aanvallers wisten bij deze organisatie verschillende gegevens en hackten ook de Cisco-routers. Daar werden scripts geplaatst waardoor het niet meer mogelijk was om via telnet verbinding met de router te maken. Ook konden de scripts de router beschadigen door het nvram te wissen en flashgeheugen te formatteren.

Wat betreft de aanvallen op Linux-systemen gaat het hier waarschijnlijk om routers, aangezien de aangevallen systemen over een ARM- of MIPS-architectuur beschikten. Architecturen die vaak in routers worden gebruikt. Slachtoffers van BlackEnergy2 bevinden zich over de hele wereld, maar een derde komt uit de voormalige Sovjet-Unie. Het gaat onder andere om banken, onderzoekinstellingen, overheidsinstanties en techbedrijven.