黑客間諜組織BlackEnergy自2007年以來存在，因在2015年引發一場重大停電而名聲大噪，而GreyEnergy的活動記錄也同時出現，ESET安全研究人員已跟蹤觀察它三年。另外2015年同期出現了另一個組織TeleBots——可能是2017年策劃大規模NotPetya病毒的爆發的幕後黑手。最近研究人員認為該組織與破壞性強大的工業控制系統（ICS）惡意軟體有關。ESET在週三的分析報告中提出，BlackEnergy演變為兩個獨立的組織：TeleBots和GreyEnergy。

過去三年中，ESET觀察到GreyEnergy參與了對烏克蘭和波蘭的攻擊，攻擊行為型別主要是網路偵查（即間諜行為），GreyEnergy的網路攻擊目標是這兩個國家的能源部門、交通運輸部門等高價值物件。

GreyEnergy的惡意軟體具有模組化結構，這意味著其功能取決於運營者選擇部署的模組。這些模組包括後門，檔案提取，螢幕截圖捕獲，鍵盤記錄，密碼和憑證竊取以及其他功能。

“我們沒有觀察到任何專門針對工業控制系統軟體或裝置的模組。但我們觀察到GreyEnergy運營者一直在戰略性地瞄準執行SCADA軟體和伺服器的ICS控制工作站。“ESET高階安全研究員Anton Cherepanov透露。

ESET認為，惡意軟體的所有模組都不會影響ICS，但其運營者有過使用磁碟擦除元件來破壞操作流程的行為。其中一個GreyEnergy的軟體樣本使用了可能從臺灣公司Advantech竊取的有效數字證書。攻擊者通過受損的自託管Web服務或帶有惡意附件的魚叉式網路釣魚電子郵件來鎖定攻擊目標，還利用可從網際網路訪問的受感染Web伺服器額外部署後門，黑客們鍾愛PHP後門，並多層模糊和加密來隱藏惡意程式碼。

魚叉式釣魚電子郵件的附件將首先刪除一個名為GreyEnergy mini(也被稱為FELIXROOT)的一級輕量級後門，以便使用Nmap和Mimikatz等工具繪製網路地圖並收集管理憑證。收集到的憑證隨後用於部署主要的GreyEnergy惡意軟體，這需要管理員許可權。

後門被部署在正常執行時間的伺服器和用於控制ICS環境的工作站上。額外的軟體(部署在內部伺服器上的代理)用於與命令和控制(C&C)伺服器進行儘可能隱蔽的通訊。

使用C語言編寫，Visual Studio編譯的GreyEnergy惡意軟體通常以兩種模式部署:僅記憶體模式(不需要持久化)和使用服務DLL持久化(在系統重新啟動時存活)。在這兩種情況下，惡意軟體的功能相同。

迄今為止，研究人員觀察到的GreyEnergy的惡意軟體模組功能如下：

• 以將PE二進位制檔案注入遠端程序;
• 收集有關係統和事件日誌的資訊;
• 執行檔案系統操作;
• 抓取截圖;
• 收集各種應用程式儲存的密碼;
• 使用Mimikatz竊取Windows憑據;
• 使用Plink建立SSH隧道;
• 使用3proxy建立代理。

此外，ESET研究人員發現了一種似乎是NotPetya的前身蠕蟲，他們將其稱之為Moonraker Petya。該惡意軟體包含使計算機無法啟動的程式碼，它針對少陣列織進行部署，傳播能力有限。Moonraker Petya展示了TeleBots和GreyEnergy之間的合作，或者至少表明他們分享了一些構思和程式碼。兩者之間的主要區別在於TeleBots專注於烏克蘭，而GreyEnergy在該國境外運營。

最後，ESET得出結論：GreyEnergy是過去幾年一直威脅烏克蘭的最危險的APT組織的重要部分。由於類似的惡意軟體設計，對受害者的特定選擇以及運作方式，我們認為它是BlackEnergy工具包的繼承者。