APT група атакува мрежата на европейска енергийна компания
Самата зловредна програма е кръстена SFG и според тях има връзка с друга атака, използваща зловредна програма, известна като Furtim. Както настоящата, така и предишната са атакували оперативни СКАДА системи.
Зловредната програма е била изключително сложен зловред. Освен сложните механизми за прикриване на дейността си като използване на високо ниво на криптиране и възможност да „лъже“ антивирусните продукти, тя избягва анализ в сендбокс. В самата атака са използвани и две вече запушени уязвимости за операционната система Windows - CVE-2014-4113 и CVE-2015-1701, които са използвани в други две сходни APT атаки. Втората от тях е използвана в края на 2014г. от групировка, известна с кодовото име Sandworm и засяга проблем в Win32k.exe, докато другата е локлно експлотируема уязвимост, като и двете са използвани в контролни СКАДА системи. Зловредната програма е имала функционалност, позволяваща ? преодоляване на защитата, предоставяна от UAC механизма.
Зловредната програма е пусната към системите на компанията през май и атаката най-вероятно е активна все още. SentinelOne не са сигурни в конкретната ? цел, но според тях, освен извличането на информация, тя може и да бъде инструктирана да изключи електрическата мрежа. Друга характеристика, която прави от зловредната програма сложно кибероръжие е вградената ? способност да преодолява не само софтуерни решения за сигурност, но и хардуерни такива, като електронни решения за достъп, включващи гласово и лицево разпознаване, RFID и системи за пръстова авторизация.
SentinelOne съобщават, че атаката вероятно е с произход Източна Европа, без да уточняват какво означава това.