Эксперты «Лаборатории Касперского» обнаружили, что две известные, предположительно русскоязычные, группы GreyEnergy и Sofacy в июне 2018 года использовали одни и те же серверы на Украине и в Швеции.
GreyEnergy считают приемником группы BlackEnergy, печально известной благодаря своим масштабным операциям. В частности, злоумышленники из BlackEnergy атаковали объекты электроэнергетики Украины в декабре 2015 года, отключив около 1% всех энергопотребителей страны. Группировка Sofacy известна своими операциям по кибершпионажу, нацеленными в том числе на американские и европейские правительственные организации.
Специалисты центра Kaspersky Lab ICS CERT установили, что злоумышленники из GreyEnergy в ходе фишинговой кампании использовали два сервера, с которых при открытии документа, прикреплённого к фишинговому письму, загружались вредоносные файлы. Группировка Sofacy использовала эти же серверы в качестве центров управления своим вредоносным ПО. Эти серверы использовались обеими группировками относительно недолго и в одно и то же время. Вероятно, GreyEnergy и Sofacy делились друг с другом своей инфраструктурой.
Предположение о связях GreyEnergy и Sofacy подтверждается и тем, что в числе мишеней обеих группировок была одна и та же компания в Казахстане, атакованная ими с разницей в неделю. Обе атаки при этом осуществлялись с применением фишинговых писем, посланных якобы от имени Министерства энергетики Республики Казахстан и содержащих схожие вложения.
«Мы надеемся, что обнаруженный факт использования группировками Sofacy и GreyEnergy одной и той же инфраструктуры, равно как и другие улики, свидетельствующие в пользу предположения о возможной связи между ними, помогут исследователям безопасности в обнаружении атак и расследовании инцидентов. Чем больше мы знаем об атакующих, тем лучше мы можем защищать наших клиентов», – отметила Мария Гарнаева, старший антивирусный эксперт Kaspersky Lab ICS CERT.
Для защиты организаций от целевых атак «Лаборатория Касперского» рекомендует:
- проводить тренинги по кибербезопасности для сотрудников, учить их правилам кибергигиены – защите от случайных заражений, фишинговых атак и атак, использующих методы социальной инженерии, например, с помощью платформы Kaspersky Security Awareness;
- наладить процесс установки обновления информационной безопасности ОС, прикладного ПО;
- следить за правильностью настройки и актуальностью антивирусных баз и прочих решений по защите IT-систем и технологических систем организации;
- наладить в организации процесс обнаружения компьютерных атак и реагирования на компьютерные инциденты; в создании своей собственной профессиональной команды вам поможет программа тренингов Kaspersky Security Trainings, а со сложными инцидентами будет проще разобраться при помощи Kaspersky Incident Response;
- отслеживать новые методы и технологии, используемые злоумышленниками для проведения атак, с помощью платформы информирования о киберугрозах, такой как Kaspersky Threat Intelligence;
- использовать продукты и услуги, специально разработанные для защиты от целевых атак, например, те, что входят в состав Kaspersky Threat Management and Defense.
С полной версией отчёта можно ознакомиться по ссылке https://ics-cert.kaspersky.ru/reports/2019/01/24/greyenergys-overlap-with-zebrocy/.