greyenergy - RunkIntel

# GreyEnergy > [!info] Identidade do Malware > **Tipo:** backdoor modular para ICS/SCADA · **MITRE:** [S0342](https://attack.mitre.org/software/S0342) · **Grupo:** [[g0034-sandworm|Sandworm]] (Telebots) > **Plataformas:** Windows · **Ativo desde:** ~2015 · **Predecessor:** [[s0089-blackenergy|BlackEnergy]] > **Foco:** infraestrutura critica ucraniana - energia eletrica, ICS/OT, setores estratégicos ## Visão Geral [[greyenergy|GreyEnergy]] e o successor do [[s0089-blackenergy|BlackEnergy]] utilizado pelo [[g0034-sandworm|Sandworm]] (Telebots) para operações de espionagem e pre-posicionamento contra infraestrutura critica, especialmente o setor de energia ucraniano. Descoberto pela ESET em 2018, o GreyEnergy foi operado em paralelo com o [[s0604-industroyer|Industroyer]] (CrashOverride) nos ataques as distribuidoras de energia da Ucrania que causaram apagoes em 2015 e 2016. O GreyEnergy e projetado para operações de longo prazo: sua arquitetura modular permite deployment seletivo de funcionalidades, usa certificados digitais roubados ([[t1553-002-code-signing|T1553.002]]) de fabricantes taiwaneses (Advantech, Realtek) para legitimar seus drivers, e emprega criptografia assimetrica RSA-2048 ([[t1573-002-asymmetric-cryptography|T1573.002]]) para proteger comúnicacoes. O malware funciona inteiramente em memoria, sem escrever arquivos em disco quando possível. ## Como Funciona O GreyEnergy e tipicamente entregue via spearphishing para funcionarios de concessionarias de energia, ou via comprometimento de redes de TI que depois levam as redes OT/ICS: 1. **Instalacao como servico Windows** - persiste como servico Windows ([[t1543-003-windows-service|T1543.003]]) com nome que imita servicos legitimos 2. **Certificado digital roubado** - binarios assinados com certificados roubados da Advantech ([[t1553-002-code-signing|T1553.002]]) para passar por verificacoes de integridade 3. **Proxy multi-hop** - usa proxies intermediarios comprometidos ([[t1090-003-multi-hop-proxy|T1090.003]]) para mascarar o servidor C2 real - tipicamente servidores comprometidos em paises terceiros 4. **Injecao em processos legitimos** - injeta código em processos do sistema ([[t1055-002-portable-executable-injection|T1055.002]]) para operar em memoria 5. **Criptografia assimetrica** - toda comunicação C2 criptografada com RSA-2048 ([[t1573-002-asymmetric-cryptography|T1573.002]]) 6. **Módulos ICS-focused** - plugins especializados para reconhecimento de redes OT/ICS, coleta de configuracoes de sistemas SCADA 7. **Componente wiper** - variante com módulo de destruicao de dados (similar ao [[s0604-industroyer|Industroyer]]) documentada em algumas campanhas ## Attack Flow ```mermaid graph TB A["Spearphishing funcionarios Concessionaria de energia Sandworm - pre-posicionamento"] --> B["Comprometimento rede TI Meses de reconhecimento Movimentação lateral para OT"] B --> C["GreyEnergy deploy Servico Windows + cert Advantech T1543.003 + T1553.002"] C --> D["Multi-hop proxy C2 Servidores comprometidos terceiros T1090.003 - C2 oculto"] D --> E["Injecao em processos Operação em memoria T1055.002 - sem arquivos em disco"] E --> F["Reconhecimento ICS/OT Redes industriais mapeadas Configuracoes SCADA coletadas"] F --> G["Pre-posicionamento concluido Pronto para operação destrutiva Industroyer / apagao eletrico"] classDef delivery fill:#e74c3c,color:#fff classDef lateral fill:#e67e22,color:#fff classDef deploy fill:#27ae60,color:#fff classDef c2 fill:#3498db,color:#fff classDef inject fill:#9b59b6,color:#fff classDef recon fill:#1abc9c,color:#fff classDef prepos fill:#2c3e50,color:#fff class A delivery class B lateral class C deploy class D c2 class E inject class F recon class G prepos ``` **Legenda:** [[g0034-sandworm|Sandworm]] - [[s0089-blackenergy|BlackEnergy]] - [[s0604-industroyer|Industroyer]] - [[t1090-003-multi-hop-proxy|T1090.003]] ## Timeline de Operacoes ```mermaid timeline title GreyEnergy - Operacoes contra Infraestrutura Critica 2015 : Dec - Apagao Ucrania (BlackEnergy) : 230.000 clientes sem energia 2016 : GreyEnergy identificado em uso : Operacoes paralelas ao Industroyer 2016 : Dec - Apagao Kiev (Industroyer) : GreyEnergy como ferramenta de reconhecimento 2018 : ESET publica análise completa : Relacao com BlackEnergy estabelecida : Certificados Advantech roubados documentados 2019 : Campanhas contra setor de mineracao : Ucrania e paises vizinhos 2022 : Sandworm retoma atividade contra Ucrania : Novos wipers pos-invasao militar ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Multi-hop Proxy | [[t1090-003-multi-hop-proxy\|T1090.003]] | C2 via proxies comprometidos | | Code Signing | [[t1553-002-code-signing\|T1553.002]] | Cert Advantech/Realtek roubados | | Windows Service | [[t1543-003-windows-service\|T1543.003]] | Persistência como servico Windows | | PE Injection | [[t1055-002-portable-executable-injection\|T1055.002]] | Operação em memoria de processos | | Asymmetric Crypto | [[t1573-002-asymmetric-cryptography\|T1573.002]] | RSA-2048 em comúnicacoes C2 | | Rundll32 | [[t1218-011-rundll32\|T1218.011]] | Lolbin para execução de payload | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Coleta de credenciais de operadores ICS | | Software Packing | [[t1027-002-software-packing\|T1027.002]] | Empacotamento para evasão de AV | | Modify Registry | [[t1112-modify-registry\|T1112]] | Persistência via registro Windows | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Remoção de artefatos | ## Relevância LATAM/Brasil O [[g0034-sandworm|Sandworm]] e o grupo de ameaça cibernetica mais destrutivo atribuido a um estado-nacao - responsavel pelos maiores apagoes causados por cyberataques da historia. Para o Brasil, a relevância e direta: - **ONS e distribuidoras de energia** - o Operador Nacional do Sistema Eletrico e as distribuidoras (Eletrobras, CEMIG, CPFL, Light) operam infraestrutura comparável a ucraniana atacada; o modelo de ataque GreyEnergy + Industroyer e replicavel - **Ambientes ICS/OT de fabricas** - industrias brasileiras (petroleo, gas, mineracao, siderurgia) com sistemas Advantech, Siemens, Schneider Electric - os mesmos fabricantes cujos certificados foram roubados pelo GreyEnergy - **Redes TI/OT nao segmentadas** - a maioria das instalacoes industriais brasileiras ainda opera com redes TI e OT nao adequadamente segmentadas; o GreyEnergy explora exatamente essa lacuna para ir de email de phishing até SCADA - **Petrobras e cadeia de petroleo** - plataformas offshore e refinarias com sistemas de controle conectados sao alvos de alto impacto para um ator como o Sandworm O Brasil deveria incluir o GreyEnergy como cenário mandatorio em exercicios de crise para o setor eletrico (ONS, ANEEL) e de petroleo (ANP, Petrobras). ## Detecção **Fontes de dados recomendadas:** - **Code signing válidation:** verificação de válidade e revogacao de certificados digitais de todos os binarios carregados como servicos Windows - especialmente certificados de fabricantes de hardware industrial (Advantech, Realtek, outras) - **Memory scanning:** análise de processos Windows buscando código injetado (hollowed processes, PE injected sections) - GreyEnergy opera em memoria sem arquivos - **Service creation monitoring (Event 7045):** servicos Windows criados com nomes de DLL como ponto de entrada (ServiceType: Kernel driver ou Win32OwnProcess) de diretorios temporarios - **Network traffic multi-hop:** conexoes para IPs que servem como relay para outros IPs - detectavel via correlation de TTLs e latências incomuns **Regras de detecção:** - **ICS/OT network monitoring:** qualquer trafico entre redes de TI e OT que nao sejá explicitamente permitido em whitelist - o GreyEnergy usa esse caminho para chegar aos sistemas industriais - **YARA:** estruturas de módulo e strings criptografadas do GreyEnergy (referência ESET: `win_greyenergy_auto.yar`) - **Sigma:** criação de servico Windows com ServiceImagePath apontando para DLL em `%TEMP%` ou `%APPDATA%` - padrao de persistência do GreyEnergy ## Referências - [1](https://attack.mitre.org/software/S0342) MITRE ATT&CK - S0342 GreyEnergy (2024) - [2](https://www.welivesecurity.com/2018/10/17/greyenergy-updgrade-sofacy/) ESET WeLiveSecurity - GreyEnergy: A Successor to BlackEnergy (2018) - [3](https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf) ESET - GreyEnergy White Paper (2018) - [4](https://www.cisa.gov/news-events/ics-advisories/icsa-18-291-01) CISA ICS-CERT - GreyEnergy Campaign Targeting Ukrainian Energy Sector (2018) - [5](https://unit42.paloaltonetworks.com/unit42-greyenergy-a-cybercriminal-successor-to-blackenergy/) Palo Alto Unit42 - GreyEnergy: A Cybercriminal Successor to BlackEnergy (2018) - [6](https://www.dragos.com/resource/greyenergy-analysis/) Dragos - GreyEnergy ICS Malware Analysis (2018)