Специалисти от компанията, доставяща решения за информационна защита SentinelOne алармираха за кампания към европейски компании от енергийния сектор, която тече в момента и поне една компания е станала жертва на атаката на организаторите на кампанията. От SentinelOne са убедени, че става дума за APT (advanced persistent threat) група, поради сложността на атаката и зловредната проба, до която са получили достъп компанията.
Самата зловредна програма е кръстена SFG и според тях има връзка с друга атака, използваща зловредна програма, известна като Furtim. Както настоящата, така и предишната са атакували оперативни СКАДА системи.
Зловредната програма е била изключително сложен зловред. Освен сложните механизми за прикриване на дейността си като използване на високо ниво на криптиране и възможност да „лъже“ антивирусните продукти, тя избягва анализ в сендбокс. В самата атака са използвани и две вече запушени уязвимости за операционната система Windows – CVE-2014-4113 и CVE-2015-1701, които са използвани в други две сходни APT атаки. Втората от тях е използвана в края на 2014г. от групировка, известна с кодовото име Sandworm и засяга проблем в Win32k.exe, докато другата е локлно експлотируема уязвимост, като и двете са използвани в контролни СКАДА системи. Зловредната програма е имала функционалност, позволяваща ѝ преодоляване на защитата, предоставяна от UAC механизма.
Зловредната програма е пусната към системите на компанията през май и атаката най-вероятно е активна все още. SentinelOne не са сигурни в конкретната ѝ цел, но според тях, освен извличането на информация, тя може и да бъде инструктирана да изключи електрическата мрежа. Друга характеристика, която прави от зловредната програма сложно кибероръжие е вградената ѝ способност да преодолява не само софтуерни решения за сигурност, но и хардуерни такива, като електронни решения за достъп, включващи гласово и лицево разпознаване, RFID и системи за пръстова авторизация.
SentinelOne съобщават, че атаката вероятно е с произход Източна Европа, без да уточняват какво означава това.