24 stycznia 2019

Wspólny element: dwa znane rosyjskojęzyczne ugrupowania cyberprzestępcze współdzielą infrastrukturę

Eksperci z Kaspersky Lab zidentyfikowali element łączący cyberataki dwóch znanych ugrupowań cyberprzestępczych: GreyEnergy - które uchodzi za następcę BlackEnergy - oraz Sofacy. Oba cybergangi wykorzystywały jednocześnie te same serwery, jednak w różnych celach.


Ugrupowania BlackEnergy oraz Sofacy zaliczają się do czołowych graczy na współczesnej arenie cyberzagrożeń. W przeszłości ich działania często wywoływały katastrofalne skutki w skali całych krajów. BlackEnergy odpowiada za jeden z najbardziej znanych cyberataków w historii - w 2015 r. jego działania wymierzone w ukraińskie elektrownie spowodowały przerwę w dostawie energii elektrycznej. Z kolei ugrupowanie Sofacy dokonało wielu destrukcyjnych ataków na amerykańskie i europejskie organizacje rządowe, jak również agencje wywiadowcze i bezpieczeństwa narodowego. Już wcześniej podejrzewano, że ugrupowania te są ze sobą powiązane, jednak dowody pojawiły się dopiero teraz, gdy okazało się, że gang GreyEnergy - następca BlackEnergy - wykorzystywał szkodliwe oprogramowanie do atakowania głównie ukraińskich obiektów przemysłowych i infrastruktury krytycznej i wykazuje znaczące podobieństwa do BlackEnergy w zakresie architektury.

Dział ICS CERT Kaspersky Lab, który zajmuje się badaniem oraz eliminowaniem zagrożeń dla systemów przemysłowych, zidentyfikował dwa serwery na Ukrainie i w Szwecji, które w czerwcu 2018 r. były jednocześnie wykorzystywane przez oba opisywane ugrupowana. Ugrupowanie GreyEnergy wykorzystywało je w ramach kampanii phishingowej do przechowywania szkodliwego pliku. Plik ten był pobierany na komputery użytkowników w momencie otwierania przez nich dokumentu tekstowego załączonego do wiadomości phishingowej. Jednocześnie ugrupowanie Sofacy wykorzystywało ten sam serwer jako centrum kontroli dla własnego szkodliwego oprogramowania. Ponieważ oba ugrupowania korzystały z serwerów przez stosunkowo krótki czas, sugeruje to współdzielenie przez nie infrastruktury. Przemawia za tym fakt, że atakowały one firmę z tygodniowym odstępem czasu jedno po drugim, wykorzystując te same spersonalizowane wiadomości phishingowe. Co więcej, oba ugrupowania wykorzystywały podobne dokumenty phishingowe podszywające się pod wiadomości e-mail od Ministerstwa Energii Republiki Kazachstanu.

Fakt współdzielenia infrastruktury przez omawiane ugrupowania cyberprzestępcze może sugerować, że łączy je nie tylko język rosyjski, ale również współpraca. Daje również wyobrażenie na temat ich łącznych możliwości oraz potencjalnych celów, zarówno dążeń, jak i ataków. Ustalenia te istotnie wzbogacają dotychczasową wiedzę na temat GreyEnergy i Sofacy. Im lepiej branża pozna taktyki, techniki oraz procedury tych cybergangów, tym lepiej eksperci ds. bezpieczeństwa będą w stanie ochronić klientów przed wyrafinowanymi atakami - powiedziała Maria Garnajewa, badaczka ds. cyberbezpieczeństwa, Kaspersky Lab ICS CERT.

W celu zabezpieczenia firm przed atakami ze strony tego typu ugrupowań Kaspersky Lab zaleca klientom następujące działania:

  • Zapewnienie pracownikom dostosowanego do potrzeb szkolenia w zakresie cyberbezpieczeństwa, podczas którego nauczą się m.in, aby zawsze sprawdzać adres łącza oraz pole nadawcy e-maila, zanim cokolwiek klikną.
  • Wprowadzenie inicjatyw ukierunkowanych na wzrost świadomości w zakresie bezpieczeństwa, obejmujących szkolenie z elementami gry i rywalizacji, które umożliwi ocenę i utrwalenie umiejętności za pomocą wielokrotnych symulacji ataków phishingowych.
  • Automatyzację aktualizacji systemów operacyjnych, oprogramowania oraz rozwiązań bezpieczeństwa w systemach stanowiących część technologii informatycznej, jak również sieci przemysłowej przedsiębiorstwa.
  • Wdrożenie wyspecjalizowanego rozwiązania zabezpieczającego wyposażonego w behawioralne technologie antyphishingowe, jak również mechanizmy do ochrony przed atakami ukierunkowanymi oraz analizę zagrożeń, takie jak rozwiązanie Kaspersky Threat Management and Defense. Potrafią one rozpoznać i wykryć zaawansowane ataki ukierunkowane poprzez analizowanie anomalii w sieci i zapewnienie zespołom ds. cyberbezpieczeństwa pełnej widoczności sieci oraz automatyzacji reakcji.
Pełna wersja raportu opublikowanego przez dział ICS CERT Kaspersky Lab jest dostępna na stronie https://r.kaspersky.pl/KbChv.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.