Două atacuri cibernetice de la grupuri diferite au folosit aceleași servere
Experţii Kaspersky Lab au identificat o suprapunere a atacurilor cibernetice ale GreyEnergy și a grupării de spionaj cibernetic Sofacy.
Experții Kaspersky Lab au identificat o suprapunere a atacurilor cibernetice între două grupuri, GreyEnergy – care se crede că este succesorul BlackEnergy – și gruparea de spionaj cibernetic Sofacy. Ambii actori au folosit aceleași servere în același timp, dar în scopuri diferite, scrie start-up.ro.
Grupările de hacking BlackEnergy și Sofacy sunt considerate doi dintre principalii actori din peisajul modern al amenințărilor cibernetice.
În trecut, activitățile lor au dus deseori la consecințe grave, la nivel național. BlackEnergy a provocat unul dintre cele mai cunoscute atacuri cibernetice din istorie, atacând instalațiile energetice ucrainene în 2015, ceea ce a dus la întreruperi în furnizarea curentului electric. Între timp, grupul Sofacy a declanșat atacuri împotriva organizațiilor guvernamentale americane și europene, precum și împotriva agențiilor de securitate națională și de informații.
Departamentul ICS CERT al Kaspersky Lab, responsabil cu cercetarea şi eliminarea ameninţărilor pentru sistemele industriale, a găsit două servere găzduite în Ucraina şi Suedia, utilizate de ambele grupări, în acelaşi timp, în iunie 2018. GreyEnergy a folosit serverele în campania sa de phishing pentru a stoca un fişier periculos. Acest fişier a fost descărcat de utilizatori în momentul deschiderii unui document text ataşat la un e-mail de phishing. În acelaşi timp, Sofacy a folosit serverul ca centru de comandă şi control pentru propriul malware. Deoarece ambele grupuri au folosit serverele pentru un timp relativ scurt, o astfel de coincidenţă sugerează o infrastructură comună. Acest lucru a fost confirmat de faptul că ambii atacatori au vizat aceeaşi companie, la distanţă de o săptămână, cu e-mail-uri de phishing. În plus, ambele grupuri au folosit documente similare de tip phishing sub forma unor e-mail-uri de la Ministerul Energiei din Republica Kazahstan, scrie businessmagazin.ro.
“Infrastructura compromisă descoperită că era folosită de ambele grupări ar putea să indice faptul că au mai mult decât limba rusă în comun: ele cooperează. De asemenea, oferă o idee despre resursele lor comune și o imagine mai bună asupra obiectivelor lor și a potențialelor ținte. Aceste descoperiri scot la lumină informații importante despre GreyEnergy și Sofacy. Cu cât industria le cunoaște mai bine tacticile, tehnicile și procedurile, cu atât experții în securitate își pot face mai bine treaba de a proteja clienții de atacuri complexe“, a declarat Maria Garnaeva, security researcher la Kaspersky Lab ICS CERT, citat de clubitc.ro.
