Experții Kaspersky Lab au identificat o suprapunere a atacurilor cibernetice între două grupuri, GreyEnergy – care se crede că este succesorul BlackEnergy – și gruparea de spionaj cibernetic Sofacy. Ambii actori au folosit aceleași servere în același timp, dar în scopuri diferite.
Grupările de hacking BlackEnergy și Sofacy sunt considerate doi dintre principalii actori din peisajul modern al amenințărilor cibernetice. În trecut, activitățile lor au dus deseori la consecințe grave, la nivel național. BlackEnergy a provocat unul dintre cele mai cunoscute atacuri cibernetice din istorie, atacând instalațiile energetice ucrainene în 2015, ceea ce a dus la întreruperi în furnizarea curentului electric. Între timp, grupul Sofacy a declanșat atacuri împotriva organizațiilor guvernamentale americane și europene, precum și împotriva agențiilor de securitate națională și de informații. A existat și anterior bănuiala privind o legătură între cele două grupuri, dar nu s-a dovedit până acum, când succesorul lui BlackEnergy – GreyEnergy – a folosit malware pentru a ataca ținte de infrastructură industrială și critică, în special din Ucraina, existând puternice asemănări de structură cu BlackEnergy.
Departamentul ICS CERT al Kaspersky Lab, responsabil cu cercetarea și eliminarea amenințărilor pentru sistemele industriale, a găsit două servere găzduite în Ucraina și Suedia, utilizate de ambele grupări, în același timp, în iunie 2018. GreyEnergy a folosit serverele în campania sa de phishing pentru a stoca un fișier periculos. Acest fișier a fost descărcat de utilizatori în momentul deschiderii unui document text atașat la un e-mail de phishing. În același timp, Sofacy a folosit serverul ca centru de comandă și control pentru propriul malware. Deoarece ambele grupuri au folosit serverele pentru un timp relativ scurt, o astfel de coincidență sugerează o infrastructură comună. Acest lucru a fost confirmat de faptul că ambii atacatori au vizat aceeași companie, la distanță de o săptămână, cu e-mail-uri de phishing. În plus, ambele grupuri au folosit documente similare de tip phishing sub forma unor e-mail-uri de la Ministerul Energiei din Republica Kazahstan.
“Infrastructura compromisă descoperită că era folosită de ambele grupări ar putea să indice faptul că au mai mult decât limba rusă în comun: ele cooperează. De asemenea, oferă o idee despre resursele lor comune și o imagine mai bună asupra obiectivelor lor și a potențialelor ținte. Aceste descoperiri scot la lumină informații importante despre GreyEnergy și Sofacy. Cu cât industria le cunoaște mai bine tacticile, tehnicile și procedurile, cu atât experții în securitate își pot face mai bine treaba de a proteja clienții de atacuri complexe“, a declarat Maria Garnaeva, security researcher la Kaspersky Lab ICS CERT.
Pentru a proteja companiile de atacurile unor astfel de grupuri, Kaspersky Lab le recomandă clienților:
- Organizați sesiuni de instruire în domeniul securității cibernetice pentru angajați și solicitați-le să verifice adresa link-ului și e-mailul expeditorului înainte de a da click pe orice.
- Introduceți programe de conștientizare în materie de securitate IT, inclusiv training-uri bazate pe gamification, cu evaluarea competențelor și întărirea cunoștințelor, prin repetarea unor atacuri de phishing simulate.
- Automatizați sistemele de operare, aplicațiile software și actualizările soluțiilor de securitate pe sistemele care fac parte din infrastructura IT, precum și din rețeaua industrială a companiei.
- Implementați o soluție specializată de protecție, capabilă să utilizeze tehnologii anti-phishing bazate pe comportament, precum și tehnologii împotriva atacurilor direcționate și informații despre amenințări, cum ar fi soluția Kaspersky Threat Management and Defense. Acestea pot să detecteze atacuri direcționate avansate, analizând anomaliile din rețea și dând echipelor de securitate cibernetică vizibilitate completă asupra rețelei, precum și să automatizeze reacția imediată la incidente.
