BlackEnergy2: новые плагины, взлом маршрутизаторов и данные о жертвах

Вредоносная программа BlackEnergy – это мошенническое ПО, приспособленное для проведения APT-атак. В течение последнего года программа была задействована в крупных геополитических операциях, о которых имеются скудные сведения. Еще более любопытная часть истории BlackEnergy связана с относительно малоизвестными возможностями, которые обеспечивают специальные плагины для заражения платформ ARM и MIPS, скрипты для сетевых устройств Cisco, деструктивные плагины, функции кражи сертификатов и т.д. В настоящем документе мы представляем сбор сведений об этой APT-атаке, которые достаточно сложно получить. Мы также сообщаем ранее недоступные сведения о жертвах и их профилях.

Злоумышленники принимают меры к тому, чтобы вредоносный код был хорошо спрятан во взломанных средах и, соответственно, действовал там в течение длительного времени. Широкий не описанный ранее функционал вредоносной программы, позволяет атакующим вызывать технические проблемы в необычных средах, в том числе в сетях SCADA. Проблемы, такие как предотвращение заражения вредоносным ПО новых узлов корпоративной сети через взломанные сетевые маршрутизаторы, могут потребовать от специалистов атакованной организации, отвечающих за IT-безопасность, сложных дополнительных усилий, выходящих за рамки стандартных процедур.

Краткая история вопроса

Программы BlackEnergy2 и BlackEnergy3 – известные вредоносные инструменты. Вначале киберпреступники применяли специальные плагины BlackEnergy для проведения DDoS-атак. Стоит отметить, что и на раннем этапе, и сейчас до сих пор нет никакой информации о том, в распоряжении скольких групп имеется этот инструмент. Затем эксперты обнаружили, что BlackEnergy2 загружает еще и плагин для рассылки спама, а также плагин для кражи банковских данных. Со временем BlackEnergy2 был включен в состав инструментария, используемого в кампании под названием BE2/Sandworm. В то время как еще одна группа киберпреступников по-прежнему проводит с помощью BlackEnergy DDoS-атаки, кампания BE2 APT также использовала исключительно данный инструмент в 2014 году на стороне жертв, причем с применением собственных плагинов и скриптов. Проясним: наше обозначение группы, стоящей за этой кампанией, – BE2 APT, но она известна также под названием Sandworm Team.

Плагины и файлы конфигурации

До того, как были найдены подтверждения применения BlackEnergy2 в целевых атаках, мы обнаружили в 2013 году странную активность на одном из командных серверов BlackEnergy. Эта странность была связана со значениями, содержавшимися в последних конфигурационных файлах BlackEnergy. Как описал Дмитрий Тараканов своем анализе 2010 года «Черный DDoS«, файл конфигурации на зараженную систему загружается с сервера управления библиотекой main.dll. В конфигурационном файле содержатся инструкции по скачиванию дополнительных плагинов, а также инструкции загрузчику по передаче определённых команд плагинам. В том случае, относящемся к 2013 году, в файле конфигурации присутствовали неизвестные плагины, помимо уже известного плагина «ddos». Ниже показан список в формате XML, содержащий имена новых плагинов: «weap_hwi», «ps», и «vsnet», в составе конфигурационного файла BlackEnergy, загруженного с командного сервера. Эта загрузка новых модулей, должно быть, была одной из первых у данной криминальной группы, поскольку версии всех модулей, в т.ч. и плагина ddos, были обозначены как «версия 1»:

Файл конфигурации, загруженный с сервера BE2

Как выяснилось, плагин ps был предназначен для кражи паролей (password stealer). Плагин vsnet был предназначен для распространения и запуска полезной нагрузки (на тот момент, собственно дроппера BlackEnergy2) в локальной сети с использованием PsExec, а также получения первичной информации о компьютере и сети пользователя.

Больше всего удивил экспертов плагин «weap_hwi». Он оказался средством проведения DDoS-атак, скомпилированным для систем на платформе ARM:

Плагин Weap_hwi

Вначале мы не знали, был ли плагин для ARM включен в список намеренно или по ошибке, поэтому мы продолжили собирать файлы конфигурации, приходящие с командного сервера. После анализа нескольких файлов конфигурации мы получили подтверждение того, что включение объекта для платформы ARM не было разовой ошибкой. С сервера, вне всяких сомнений, поступали файлы конфигурации не только для Windows, но и для платформы ARM/MIPS. При всей своей необычности, модуль для ARM загружался с того же сервера и получал инструкции из того же файла конфигурации.

Плагины для Linux

Со временем нам удалось собрать несколько плагинов, а также главный модуль для архитектуры ARM и MIPS. Все файлы для ARM/MIPS были скомпилированы из единого набора исходных кодов и затем загружались на устройства через один и тот же файл конфигурации: weap_msl, weap_mps, nm_hwi, nm_mps, weap_hwi и nm_msl. Интересно, что разработчики BE2 обновили плагин ddos, а вместе с ним и плагины nm_hwi, nm_mps и nm_msl, до версии 2. Одновременно с этим они выпустили версию 5 плагинов weap_msl, weap_mps и weap_hmi. Вероятно, эти номера версий не были выбраны случайным образом, поскольку данная группа профессионально и методично разрабатывала BlackEnergy2 в течение нескольких лет:

Файл конфигурации с аналогичными наборами плагинов для устройств с разной архитектурой

Вот список загружаемых файлов и их функционала:

Грамматические и орфографические ошибки в плагинах Weap, Snif, Nm

Стиль программирования, применяемый разработчиками, различен в главном модуле Hook, плагинах и библиотеке main.dll для Windows. Главный модуль содержал зашифрованные строки и манипулировал всеми вызовами функций и строками посредством указателей в большой структуре. Такая обфускация с помощью структуры, возможно, является следствием попытки переписать код, чтобы придать ему модульную структуру, однако не исключено, что это сделано намеренно для усложнения анализа кода. В любом случае, вероятно, что код для разных плагинов писали разные программисты. Таким образом проект BE2, вероятно, имеет в своем распоряжении собственную небольшую команду для разработки плагинов и реализации мультиплатформенности.

Структура модуля Hook

После расшифровки зашифрованных строк стало понятно, что Hook – главный модуль для Linux – соединялся с тем же командным сервером, что и модули для Windows:

IP-адрес командного сервера в модуле для Linux

Данный модуль для Linux способен обрабатывать следующие команды (некоторые из которых аналогичны командам в версии для Windows):

Плагины для Windows

После обнаружения необычного командного сервера, который раздавал плагины для Linux и новые плагины для Windows, мы стали обращать более пристальное внимание на новые образцы BE2 и соответствующие командные серверы.

За длительный период времени нам удалось собрать с разных командных серверов большое количество плагинов для Windows, причем плагины для Linux, о которых говорится выше, нам ни разу не попались. Судя по всему, группировка BE2/SandWorm лучше организовала свои сервера и стала хранить хакерский инструментарий и плагины для платформ, отличных от Windows, на отдельных серверах или в отдельных папках на тех же серверах. Необходимо отметить, что на всех командных серверах размещены разные наборы плагинов. Это означает, что каждый сервер работает с определенными – «своими» – жертвами и использует плагины, которые нужны в данный момент. Ниже приведен перечень всех известных на данный момент плагинов:

Мы не сомневаемся, что приведенный нами список инструментов BE2 неполон. Например, нам пока не удалось получить плагин для доступа к маршрутизаторам, но мы уверены, что он существует. Есть также основания считать, что существует плагин для зашифровки файлов жертв (см. ниже).

Наша текущая коллекция достаточно хорошо отражает возможности злоумышленников, стоящих за BE2. Некоторые плагины по-прежнему остаются загадкой, и их назначение по-прежнему неясно, например, usb и bios.Для чего атакующим может понадобиться информация по характеристикам USB-устройств и BIOS? Возможно, это говорит о том, что для определенных устройств и версий BIOS злоумышленники могут загружать дополнительные плагины для выполнения определенных действий. Возможно, деструктивных, а возможно, направленных на заражение новых устройств. Этого мы пока не знаем.

Интерес также представляет еще один плагин – grc. В некоторых файлах конфигурации BE2 имеется значение с типом «gid»:

Число addrв файле конфигурации

Это число – идентификатор в сервисе plus.google.com. Оно используется плагином grc при разборе html-кода, в результате которого загружается и расшифровывается PNG-файл. По идее, расшифрованный PNG-файл должен содержать конфигурационный файл, однако мы ни разу не сталкивались с таким файлом. Нам известны два идентификатора в GooglePlus, связанных с BlackEnergy. По первому – plus.google.com/115125387226417117030/ – зарегистрировано аномально высокое количество просмотров. На момент написания этого текста оно составляло 75 миллионов:

Профиль BE2 в GooglePlus

Профиль, соответствующий второму числу, – plus.google.com/116769597454024178039/posts – на данный момент скромнее: он просмотрен чуть более 5 000 раз. Все сообщения в этом аккаунте удалены.

Отслеженные команды

В процессе наблюдения за работой описанного выше командного сервера, который работал как с маршрутизаторами, так и с персональными компьютерами, мы отследили доставку перечисленных ниже команд в составе файла конфигурации до того, как сервер был отключен. Наши комментарии по действиям, соответствующим каждой команде, приведены в следующей таблице:

Судя по тому, что мы видели команды, отправленные плагинам для Linux, можно заключить, что злоумышленники уже контролировали зараженные устройства на платформах MIPS/ARM. Мы хотели бы обратить особое внимание на команды, связанные с проведением DDoS-атак и предназначенные для таких маршрутизаторов. IP-адрес 188.128.123.52 принадлежит российскому Министерству обороны, а адрес 212.175.109.10 относится к официальному сайту Министерства внутренних дел Турции. Многие эксперты предполагают, что за BE2 стоит российская киберпреступная группа, однако известная на сегодняшний день активность злоумышленников и выбор жертв не позволяют определить, чьи интересы представляют атакующие.

При наблюдении за работой командных серверов и анализе полученных с них файлов конфигурации мы обнаружили странные ошибки и опечатки. Они выделены на следующем изображении:

Ошибки в файле конфигурации BE2

Эти ошибки говорят, прежде всего, о том, что злоумышленники, стоящие за BE2, редактируют файлы конфигурации вручную. Кроме того, становится ясно, что даже высококвалифицированные хакеры иногда допускают ошибки.

Прописанные в явном виде командные серверы

Содержимое файлов конфигурации достаточно интересно само по себе. Все они содержат настройки командного callback-сервера с прописанным в явном виде IP-адресом таймаутами; некоторые содержат перечисленные выше команды. Ниже представлен список прописанных в файлах конфигурации IP-адресов с адресами их владельцев и указанием стран, где находятся соответствующие хосты:

Интересно, что один из этих серверов – выходной узел сети Tor. Согласно собранным нами файлам конфигурации, в октябре 2013 года группа перевела связь своих вредоносных программ с командными серверами с нешифруемого протокола HTTP на шифруемый HTTPS.

Цели и жертвы BE2

BlackEnergy2 отличается широким географическим распределением жертв. С конца 2013 года мы идентифицировали цели и жертв BlackEnergy2 в перечисленных ниже странах. Вероятно, имеются жертвы, о которых нам неизвестно.

• Россия
• Украина
• Польша
• Литва
• Беларусь
• Азербайджан
• Кыргызстан
• Казахстан
• Иран
• Израиль
• Турция
• Ливия
• Кувейт
• Тайвань
• Вьетнам
• Индия
• Хорватия
• Германия
• Бельгия
• Швеция

Выбор жертв злоумышленниками говорит об их обширных интересах в области АСУ:

• владельцы компаний в области производства электроэнергии
• строительство энергетических объектов
• операторы электростанций
• крупные поставщики и производители материалов, используемых в тяжелой промышленности
• инвесторы

Однако мы заметили, что список целей также включает в себя организации, работающие в сфере государственного управления, управления активами и высокотехнологичных отраслях:

• правительственные организации высокого уровня
• объекты систем автоматизированного производства
• федеральные агентства по управлению земельными ресурсами
• органы муниципального управления
• федеральные службы по борьбе с чрезвычайными ситуациями
• лаборатории, занимающиеся измерениями и исследованиями космического пространства и Земли
• национальное бюро стандартов
• банки
• высокотехнологичные транспортные системы
• научные исследования в ВУЗах

Конкретные жертвы

Летом 2014 года нам удалось получить информацию о заметных жертвах BE2. Ниже представлена информация о представляющих интерес инцидентах с BE2.

Жертва №1

Злоумышленники, стоящие за BE2, успешно атаковали организацию, отправив специально сформированное письмо. Сообщение содержало эксплойт, для которого в тот момент не было записи в базе CVE, но имелся модуль metasploit. В сообщение был вложен ZIP-архив с EXE-файлом, который, на первый взгляд, не был таковым. Этот специально сформированный ZIP-архив использовал уязвимость в программе WinRAR, из-за которой пользователю представляется, что файлы, упакованные в ZIP-архивы, имеют иные имена и расширения, чем на самом деле.

Пример адресного фишингового сообщения BE2

Вложенный файл оказался вредоносной программой, аналогичной BlackEnergy, которую эксперты уже окрестили «BlackEnergy3» – преступная группировка использует ее наряду с BlackEnergy2. Продукты «Лаборатории Касперского» детектируют BlackEnergy3 как Backdoor.Win32.Fonten – имя дано по устанавливаемому вредоносной программой в системе файлу FONTCACHE.DAT.

В процессе расследования на компьютерах в корпоративной сети пострадавшей компании были обнаружены только файлы, относящиеся к BE2. Это говорит о том, что BE3 использовался в данной сети только как средство атаки первого этапа. Файлы конфигурации BE2 содержали, в частности, данные о внутреннем прокси-сервере компании:

Файл конфигурации BE2 содержит данные о внутреннем прокси-сервере жертвы

Поскольку применяемая в APT-атаке версия BE2 теперь хранит загруженные плагины в зашифрованных файлах на зараженном компьютере (такого не было в предыдущих версиях – все плагины присутствовали только в памяти), администраторы имели возможность собрать файлы BE2 с зараженных машин. После расшифровки этих файлов мы получили плагины, которые запускались на зараженных машинах: ps, vsnet, fs, ss, dstr.

По всей видимости, злоумышленники отправили на зараженные компьютеры модуль dstr, когда поняли, что их «засекли», с целью скрыть следы своего присутствия на зараженных машинах. Некоторые машины успели запустить плагин, потеряли все данные и вместе с ними возможность загрузки системы.

Деструктивная команда dstrв файле конфигурации BE2

Кроме того, на некоторых машинах были зашифрованы документы, однако соответствующий плагин найти не удалось.

Жертва №2

Сеть второй организации была взломана с использованием учетных данных VPN, украденных у первой жертвы. После того, как вторая организация получила уведомление о заражении, она запустила внутреннее расследование. Организация подтвердила, что часть данных на ее компьютерах уничтожена, т.е. злоумышленники, стоящие за BE2, демонстрируют определенный уровень деструктивной активности. Кроме того, атакованная организация сообщила, что ее маршрутизаторы Cisco с установленными на них различными версиями IOS были взломаны. Была потеряна возможность связи с маршрутизаторами по протоколу telnet. В файловой системе одного из маршрутизаторов были обнаружены приведенные ниже «прощальные» tcl-скрипты.

Ciscoapi.tcl содержит различные «обертки» вокруг команд cisco EXEC, описанные в комментариях.

Комментарий также содержит язвительное сообщение, адресованное «kaspeRsky»:

Фрагмент принадлежащего BE2 файла ciscoapi.tcl

Killint.tcl – использует Ciscoapi.tcl, реализует деструктивные функции:

Фрагментфайла killint.tcl, приналдлежащего BE2

Скрипт пытается загрузить ciscoapi.tcl с определенного FTP-сервера, используемого как хранилище файлов BE2. Организации удалось выяснить, какие скрипты хранились на сервере, до того, как группировка BE/SandWorm их удалила. К сожалению, восстановить удаленные скрипты не удалось. Группировка, стоящая за BE2, заметает свои следы тщательно и профессионально:

ciscoapi.tcl
killint.tcl
telnetapi2.tcl
telnetu.tcl
stub.tcl
stub1.tcl

Есть основания полагать, что лог-файлы, создаваемые некоторыми скриптами, также хранились на FTP-сервере, в частности, информация по CDP-соседям, которую предоставляла одна из процедур в ciscoapi.tcl.

Жертва №3

Система третьей организации была взломана с помощью атаки такого же типа, что и первой (подмена документа EXE-файлом в ZIP-архиве). Все плагины, обнаруженные в файлах BE2, уже были известны, и при этом со стороны пострадавшей организации не было сообщений о взломанных сетевых устройствах; данные организации также не были уничтожены. Бросалось в глаза, что на многих компьютерах присутствовали файлы как BE2, так и BE3, а в некоторых файлах конфигурации присутствовал следующий URL-адрес:

hxxps://46.165.222(dot)28/upgrade/f3395cd54cf857ddf8f2056768ff49ae/getcfg.php

Этот URL-адрес содержит md5-хеш строки «router». Один из обнаруженных файлов конфигурации содержал URL-адрес с md5-хешем имени не идентифицированного на сегодняшний день файла:

hxxps://46.165.222(dot)28/upgrade/bf0dac805798cc1f633f19ce8ed6382f/upgrade.php

Группа жертв №4

Группа жертв обнаружила, что установленная у них АСУ Siemens SCADA загружала и запускала BlackEnergy. С марта по июль 2014 года программа компании Siemens «ccprojectmgr.exe» загружала и запускала на выполнение несколько различных полезных нагрузок, размещенных по адресу 94.185.85.122/favicon.ico. Все они детектируются как варианты Backdoor.Win32.Blakken.

Идентификаторы сборок

В каждом файле конфигурации, входящем в состав библиотеки BE2 main.dll, есть поле под названием build_id, позволяющее операторам определить версию вредоносной программы. В настоящее время данная группировка BE/SandWorm использует определенный шаблон идентификаторов сборок, содержащий три шестнадцатеричных цифры и три буквы, например:

0C0703hji

Цифры указывают на дату создания файла в формате Год-Месяц-Число. Назначение букв на данный момент неизвестно, но вероятнее всего, они идентифицируют цели атаки. Шестнадцатеричные числа использовались не всегда – иногда мы видели числа в десятичной форме:

100914_mg
100929nrT

Для нас наибольший интерес представлял идентификатор наиболее ранней сборки, какую нам удалось обнаружить. На данный момент это «OB020Ad0V». Таким образом, атаки в рамках кампании APT-класса BE2/SandWorm начались не позднее, чем в начале 2010 года.

Приложение: индикаторы компрометации

Поскольку дроппер BE устанавливает свой драйвер под случайно выбранным именем, который берет у неиспользуемого в момент установки существующего драйвера в Windows, например, %system32%driversAliIde.sys, то нельзя найти его в системе по определенному имени. Однако, в 64-разрядных системах используется самоподписанный драйвер, и этот факт позволил некоторым жертвам идентифицировать зловредный файл.

При этом новая APT атака BE2 использует одно из перечисленных ниже имен файлов для зашифрованных хранилищ плагинов и сетевых настроек. Они постоянны и служат в качестве стабильных индикаторов компрометации:

%system32%driverswinntd_.dat
%system32%driverswinntd.dat
%system32%driverswincache.dat
%system32%driversmlang.dat
%system32%driversosver32nt.dat
%LOCALAPPDATA%adobewind002.dat
%LOCALAPPDATA%adobesettings.sol
%LOCALAPPDATA%adobewinver.dat
%LOCALAPPDATA%adobecache.dat

Для обеспечения персистентности BE2 также использует следующий пункт меню Пуск:

UsersuserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupflashplayerapp.exe

Известны следующие имена файлов, используемые BE3:

%USERPROFILE%NTUSER.LOG
%LOCALAPPDATA%FONTCACHE.DAT

MD5-хеши BE2:

d57ccbb25882b16198a0f43285dafbb4
7740a9e5e3feecd3b7274f929d37bccf
948cd0bf83a670c05401c8b67d2eb310
f2be8c6c62be8f459d4bb7c2eb9b9d5e
26a10fa32d0d7216c8946c8d83dd3787
8c51ba91d26dd34cf7a223eaa38bfb03
c69bfd68107ced6e08fa22f72761a869
3cd7b0d0d256d8ff8c962f1155d7ab64
298b9a6b1093e037e65da31f9ac1a807
d009c50875879bd2aefab3fa1e20be09
88b3f0ef8c80a333c7f68d9b45472b88
17b00de1c61d887b7625642bad9af954
27eddda79c79ab226b9b24005e2e9b6c
48937e732d0d11e99c68895ac8578374
82418d99339bf9ff69875a649238ac18
f9dcb0638c8c2f979233b29348d18447
72372ffac0ee73dc8b6d237878e119c1
c229a7d86a9e9a970d18c33e560f3dfc
ef618bd99411f11d0aa5b67d1173ccdf
383c07e3957fd39c3d0557c6df615a1a
105586891deb04ac08d57083bf218f93
1deea42a0543ce1beeeeeef1ffb801e5
7d1e1ec1b1b0a82bd0029e8391b0b530
1f751bf5039f771006b41bdc24bfadd3
d10734a4b3682a773e5b6739b86d9b88
632bba51133284f9efe91ce126eda12d
a22e08e643ef76648bec55ced182d2fe
04565d1a290d61474510dd728f9b5aae
3c1bc5680bf93094c3ffa913c12e528b
6a03d22a958d3d774ac5437e04361552
0217eb80de0e649f199a657aebba73aa
79cec7edf058af6e6455db5b06ccbc6e
f8453697521766d2423469b53a233ca7
8a449de07bd54912d85e7da22474d3a9
3f9dc60445eceb4d5420bb09b9e03fbf
8f459ae20291f2721244465aa6a6f7b9
4b323d4320efa67315a76be2d77a0c83
035848a0e6ad6ee65a25be3483af86f2
90d8e7a92284789d2e15ded22d34ccc3
edb324467f6d36c7f49def27af5953a5
c1e7368eda5aa7b09e6812569ebd4242
ec99e82ad8dbf1532b0a5b32c592efdf
391b9434379308e242749761f9edda8e
6bf76626037d187f47a54e97c173bc66
895f7469e50e9bb83cbb36614782a33e
1feacbef9d6e9f763590370c53cd6a30
82234c358d921a97d3d3a9e27e1c9825
558d0a7232c75e29eaa4c1df8a55f56b
e565255a113b1af8df5adec568a161f3
1821351d67a3dce1045be09e88461fe9
b1fe41542ff2fcb3aa05ff3c3c6d7d13
53c5520febbe89c25977d9f45137a114
4513e3e8b5506df268881b132ffdcde1
19ce80e963a5bcb4057ef4f1dd1d4a89
9b29903a67dfd6fec33f50e34874b68b
b637f8b5f39170e7e5ada940141ddb58
c09683d23d8a900a848c04bab66310f1
6d4c2cd95a2b27777539beee307625a2
e32d5c22e90cf96296870798f9ef3d15
64c3ecfd104c0d5b478244fe670809cc
b69f09eee3da15e1f8d8e8f76d3a892a
294f9e8686a6ab92fb654060c4412edf
6135bd02103fd3bab05c2d2edf87e80a
b973daa1510b6d8e4adea3fb7af05870
8dce09a2b2b25fcf2400cffb044e56b8
6008f85d63f690bb1bfc678e4dc05f97
1bf8434e6f6e201f10849f1a4a9a12a4
6cac1a8ba79f327d0ad3f4cc5a839aa1
462860910526904ef8334ee17acbbbe5
eeec7c4a99fdfb0ef99be9007f069ba8
6bbc54fb91a1d1df51d2af379c3b1102
8b152fc5885cb4629f802543993f32a1
6d1187f554040a072982ab4e6b329d14
3bfe642e752263a1e2fe22cbb243de57
c629933d129c5290403e9fce8d713797
1c62b3d0eb64b1511e0151aa6edce484
811fcbadd31bccf4268653f9668c1540
0a89949a3a933f944d0ce4c0a0c57735
a0f594802fbeb5851ba40095f7d3dbd1
bf6ce6d90535022fb6c95ac9dafcb5a5
df84ff928709401c8ad44f322ec91392
fda6f18cf72e479570e8205b0103a0d3
39835e790f8d9421d0a6279398bb76dc
fe6295c647e40f8481a16a14c1dfb222
592c5fbf99565374e9c20cade9ac38aa
ad8dc222a258d11de8798702e52366aa
bc21639bf4d12e9b01c0d762a3ffb15e
3122353bdd756626f2dc95ed3254f8bf
e02d19f07f61d73fb6dd5f7d06e9f8d2
d2c7bf274edb2045bc5662e559a33942
ac1a265be63be7122b94c63aabcc9a66
e06c27e3a436537a9028fdafc426f58e
6cf2302e129911079a316cf73a4d010f
38b6ad30940ddfe684dad7a10aea1d82
f190cda937984779b87169f35e459c3a
698a41c92226f8e444f9ca7647c8068c
bc95b3d795a0c28ea4f57eafcab8b5bb
82127dc2513694a151cbe1a296258850
d387a5e232ed08966381eb2515caa8e1
f4b9eb3ddcab6fd5d88d188bc682d21d
8e42fd3f9d5aac43d69ca740feb38f97
a43e8ddecfa8f3c603162a30406d5365
ea7dd992062d2f22166c1fca1a4981a1
7bf6dcf413fe71af2d102934686a816b
cf064356b31f765e87c6109a63bdbf43
4a46e2dc16ceaba768b5ad3cdcb7e097
2134721de03a70c13f2b10cfe6018f36
7add5fd0d84713f609679840460c0464
cc9402e5ddc34b5f5302179c48429a56
9803e49d9e1c121346d5b22f3945bda8
c5f5837bdf486e5cc2621cc985e65019
2b72fda4b499903253281ebbca961775
7031f6097df04f003457c9c7ecbcda1c
6a6c2691fef091c1fc2e1c25d7c3c44c
9bd3fa59f30df5d54a2df385eba710a5
5100eb13cac2fc3dec2d00c5d1d3921c
0a2c2f5cf97c65f6473bdfc90113d81e
30b74abc22a5b75d356e3a57e2c84180
a0424e8436cbc44107119f62c8e7491b
c1ba892d254edd8a580a16aea6f197e9
e70976785efcfaeed20aefab5c2eda60
397b5d66bac2eb5e950d2a4f9a5e5f2c
4e9bde9b6abf7992f92598be4b6d1781
54d266dee2139dd82b826a9988f35426
5b4faa2846e91e811829a594fecfe493
907448af4388072cdc01e69b7b97b174
ccad214045af69d06768499a0bd3d556
1395dfda817818c450327ab331d51c1b
715e9e60be5a9b32075189cb04a0247e
3835c8168d66104eed16c2cd99952045
f32c29a620d72ec0a435982d7a69f683
95e9162456d933fff9560bee3c270c4e
da01ef50673f419cf06b106546d06b50
2dd4c551eacce0aaffedf4e00e0d03de
34f80f228f8509a67970f6062075e211
81ca7526881a0a41b6721048d2f20874
d642c73d0577dd087a02069d46f68dac

MD5-хеши BE3:

f0ebb6105c0981fdd15888122355398c
7cb6363699c5fd683187e24b35dd303e
4d5c00bddc8ea6bfa9604b078d686d45
f37b67705d238a7c2dfcdd7ae3c6dfaa
46649163c659cba8a7d0d4075329efa3
628ef31852e91895d601290ce44650b1
723eb7a18f4699c892bc21bba27a6a1a
8b9f4eade3a0a650af628b1b26205ba3
f6c47fcc66ed7c3022605748cb5d66c6
6c1996c00448ec3a809b86357355d8f9
faab06832712f6d877baacfe1f96fe15
2c72ef155c77b306184fa940a2de3844
2e62e8949d123722ec9998d245bc1966
b0dc4c3402e7999d733fa2b668371ade
93fa40bd637868a271002a17e6dbd93b
f98abf80598fd89dada12c6db48e3051
8a7c30a7a105bd62ee71214d268865e3
2f6582797bbc34e4df47ac25e363571d
81d127dd7957e172feb88843fe2f8dc1
3e25544414030c961c196cea36ed899d

Более ранние и параллельные исследования

Botnet History Illustrated by BlackEnergy 2, PH Days, Kaspersky Lab — Maria Garnaeva and Sergey Lozhkin, May 2014

BlackEnergy and Quedagh (pdf), F-Secure, September 2014

Sandworm, iSIGHT Partners, October 2014

Alert (ICS-ALERT-14-281-01A) Ongoing Sophisticated Malware Campaign Compromising ICS (Update A), ICS-CERT, October 2014