Uma investigação da fabricante de antivírus Eset afirma que os criadores do código malicioso responsável por um apagão na Ucrânia, o "BlackEnergy", têm ligação com outras duas campanhas de ataque: o GreyEnergy e os TeleBots, responsáveis pelos vírus de resgate NotPetya e Bad Rabbit.
Em dezembro de 2015, um apagão elétrico foi causado por um vírus de computador na Ucrânia e se tornou o primeiro caso registrado dessa natureza. O programa responsável foi batizado de BlackEnergy ou Industroyer, e a Eset usa esse primeiro nome para se referir ao grupo responsável. Um ano depois, em dezembro de 2016, a Ucrânia sofreria o segundo blecaute causado por um vírus. A Ucrânia culpou a Rússia pelos ataques.
O NotPetya foi um ataque mascarado como vírus de resgate que também atingiu principalmente empresas na Ucrânia. O vírus foi inicialmente injetado em várias empresas usando o recurso de atualização automática de um programa de contabilidade popular no país e o próprio código se encarregava de contaminar os demais computadores dentro da rede corporativa.
Embora parecesse um vírus de resgate — que embaralha arquivos e cobra da vítima um resgate para retorná-los ao estado original —, especialistas concluíram que isso era um disfarce. O NotPetya não demonstrava capacidade técnica para recuperar os arquivos da vítima e os e-mails associados ao suposto resgate também logo foram desativados, o que impedia a comunicação com os criminosos. Esses deslizes não estão presentes em vírus de resgate comuns.
A Eset ressalta que analisa apenas semelhanças técnicas e de infraestrutura nos programas. Em outras palavras, a companhia não se ocupa com os aspectos geopolíticos dos ataques, nem tenta atribuir a culpa pelos incidentes a governos ou países específicos.
Porém, o elo encontrado pela empresa entre as ações do NotPetya e o BlackEnergy engrossa as acusações contra a Rússia, pois os Estados Unidos e o Reino Unido culparam o governo russo pelo vírus NotPetya. Em março, o governo norte-americano alertou que o governo russo tem tentado atacar o setor elétrico dos EUA, onde não foi registrado nenhum apagão. Não há acusação direta semelhante por parte dos EUA envolvendo os casos na Ucrânia.
A ligação entre os ataques foi possível graças a um programa de uma rede de ataques que a Eset chama de "TeleBots". O TeleBot é um programa que dá acesso remoto ao computador contaminado. Ele foi encontrado no caso do NotPetya e também no do vírus Bad Rabbit, mas não havia vínculo desses programas com os ataques ao setor elétrico.
Um novo vírus desenvolvido pelo TeleBots, chamado pela Eset de Exaramel, foi encontrado em abril. Essa praga compartilha semelhanças técnicas com o vírus que causou o apagão na Ucrânia. Dessa forma, o TeleBots passa a ser o "elo perdido" entre os apagões de 2015 e 2016 e os ataques do NotPetya e Bad Rabbit em 2017.
'Preparo para ataque'
De acordo com a Eset, os responsáveis pelo BlackEnergy se organizaram em uma nova campanha, que a empresa batizou de "GreyEnergy". Enquanto o código anterior tinha um foco maior em destruição, os novos programas se esforçam para permanecerem invisíveis enquanto capturam informações dos sistemas contaminados.
Assim como o BlackEnergy, o GreyEnergy ataca principalmente o setor elétrico, mas há também alvos no setor de transportes e outros. Na mira desse vírus espião estão dados sobre a operação de sistemas de controle industrial. A Eset teoriza que esta pode ser uma espécie de missão de reconhecimento antes que seja realizado um novo ataque.
De acordo com a empresa, um dos alvos estava localizado na Polônia, mas o foco do GreyEnergy é a Ucrânia. Os ataques ocorrem desde 2015.