De NotPetya-malware die vorig jaar voor grote schade zorgde en Industroyer, malware die elektriciteitsnetwerken kan saboteren, zijn van dezelfde groep aanvallers afkomstig, zo meldt anti-virusbedrijf ESET vandaag. Toen ESET Industroyer vorig jaar onthulde wist de virusbestrijder nog niet zeker of de malware ook daadwerkelijk was ingezet, maar in de vandaag verschenen analyse stelt het dat Industroyer verantwoordelijk was voor de aanval in Oekraïne die eind 2016 een stroomstoring veroorzaakte.

Kort na de onthulling van Industroyer stelden sommige beveiligingsbedrijven dat die was ontwikkeld door een groep aanvallers genaamd Sandworm, ook bekend als APT 28, Fancy Bear, Sofacy, Pawnstorm, Sednit, Strontium en BlackEnery. Er was echter geen bewijs omdat dit verband te bewijzen. In april van dit jaar ontdekten onderzoekers van ESET een poging van de Sandworm-groep om een nieuwe backdoor te verspreiden. Deze backdoor is een verbeterde versie van de Industroyer-backdoor, aldus de vandaag verschenen analyse.

In combinatie met de nieuwe backdoor vonden de onderzoekers ook een wachtwoordsteler genaamd CredRaptor, die Sandworm al sinds 2016 gebruikt om wachtwoorden van allerlei programma's te stelen, waaronder een groot aantal ftp-programma's zoals FileZilla en FlashFXP, browsers zoals Google Chrome, Internet Explorer, Firefox en Opera en andere software waaronder Outlook, Windows Vault en WinSCP. Eerder werd Sandworm al door ESET verantwoordelijk gehouden voor de verspreiding van de NotPetya-malware.

De onderzoekers erkennen dat er altijd rekening moet worden gehouden met zogeheten 'false flags', waarbij een aanvaller opzettelijk code achterlaat om een andere aanvaller hiervoor op te laten draaien. Ook kan het zijn dat de gedeelde code die werd gevonden berust op toeval. "In dit geval vinden we dit onwaarschijnlijk", aldus de onderzoekers.