Două cunoscute grupări de limbă rusă, descoperite de experții Kaspersky Lab că folosesc aceeași infrastructură

25 ianuarie 2019

Experții Kaspersky Lab au identificat o suprapunere a atacurilor cibernetice între două grupuri, GreyEnergy – care se crede că este succesorul BlackEnergy – și gruparea de spionaj cibernetic Sofacy. Ambii actori au folosit aceleași servere în același timp, dar în scopuri diferite.

Două cunoscute grupări de limbă rusă, descoperite de experții Kaspersky Lab că folosesc aceeași infrastructură

Grupările de hacking BlackEnergy și Sofacy sunt considerate doi dintre principalii actori din peisajul modern al amenințărilor cibernetice. În trecut, activitățile lor au dus deseori la consecințe grave, la nivel național. BlackEnergy a provocat unul dintre cele mai cunoscute atacuri cibernetice din istorie, atacând instalațiile energetice ucrainene în 2015, ceea ce a dus la întreruperi în furnizarea curentului electric. Între timp, grupul Sofacy a declanșat atacuri împotriva organizațiilor guvernamentale americane și europene, precum și împotriva agențiilor de securitate națională și de informații. A existat și anterior bănuiala privind o  legătură între cele două grupuri, dar nu s-a dovedit până acum, când succesorul lui BlackEnergy – GreyEnergy – a folosit malware pentru a ataca ținte de infrastructură industrială și critică, în special din Ucraina, existând puternice asemănări de structură cu BlackEnergy.

Departamentul ICS CERT al Kaspersky Lab, responsabil cu cercetarea și eliminarea amenințărilor pentru sistemele industriale, a găsit două servere găzduite în Ucraina și Suedia, utilizate de ambele grupări, în același timp, în iunie 2018. GreyEnergy a folosit serverele în campania sa de phishing pentru a stoca un fișier periculos. Acest fișier a fost descărcat de utilizatori în momentul deschiderii unui document text atașat la un e-mail de phishing. În același timp, Sofacy a folosit serverul ca centru de comandă și control pentru propriul malware. Deoarece ambele grupuri au folosit serverele pentru un timp relativ scurt, o astfel de coincidență sugerează o infrastructură comună. Acest lucru a fost confirmat de faptul că ambii atacatori au vizat aceeași companie, la distanță de o săptămână, cu e-mail-uri de phishing. În plus, ambele grupuri au folosit documente similare de tip phishing sub forma unor e-mail-uri de la Ministerul Energiei din Republica Kazahstan.

"Infrastructura compromisă descoperită că era folosită de ambele grupări ar putea să indice faptul că au mai mult decât limba rusă în comun: ele cooperează. De asemenea, oferă o idee despre resursele lor comune și o imagine mai bună asupra obiectivelor lor și a potențialelor ținte. Aceste descoperiri scot la lumină informații importante despre GreyEnergy și Sofacy. Cu cât industria le cunoaște mai bine tacticile, tehnicile și procedurile, cu atât experții în securitate își pot face mai bine treaba de a proteja clienții de atacuri complexe", a declarat Maria Garnaeva, security researcher la Kaspersky Lab ICS CERT.

Pentru a proteja companiile de atacurile unor astfel de grupuri, Kaspersky Lab le recomandă clienților:

  • Organizați sesiuni de instruire în domeniul securității cibernetice pentru angajați și solicitați-le să verifice adresa link-ului și e-mailul expeditorului înainte de a da click pe orice.
  • Introduceți programe de conștientizare în materie de securitate IT, inclusiv training-uri bazate pe gamification, cu evaluarea competențelor și întărirea cunoștințelor, prin repetarea unor atacuri de phishing simulate.
  • Automatizați sistemele de operare, aplicațiile software și actualizările soluțiilor de securitate pe sistemele care fac parte din infrastructura IT, precum și din rețeaua industrială a companiei.
  • Implementați o soluție specializată de protecție, capabilă să utilizeze tehnologii anti-phishing bazate pe comportament, precum și tehnologii împotriva atacurilor direcționate și informații despre amenințări, cum ar fi soluția Kaspersky Threat Management and Defense. Acestea pot să detecteze atacuri direcționate avansate, analizând anomaliile din rețea și dând echipelor de securitate cibernetică vizibilitate completă asupra rețelei, precum și să automatizeze reacția imediată la incidente.

Citiți versiunea completă a raportului Kaspersky Lab ICS CERT aici.

Kaspersky

Kaspersky

Kaspersky Lab este unul dintre furnizorii de soluții de securitate informatică cu cea mai rapidă creștere la nivel mondial. În prezent, compania este una dintre cele mai importante patru companii de securitate IT*, continuând să-și îmbunătățească poziția pe piață. Potrivit rezultatelor financiare ale companiei î...

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Aplicații software recomandate
Kaspersky Anti-Virus 2015

Kaspersky Anti-Virus 2015 vă oferă tehnologii antivirus esențiale pentru PC-ul dumneavoastră cu o protecție in timp real bazată pe cloud - pentru cele mai noi amenințări de tip malware. Lucrând in fundal - cu un scan inteligent si update-uri mici si frecvente - tehnologia proactivă vă protejează PC-ul atât de amenințările cunoscute,cat si de cele mai noi amenințări, fără să...

Citește tot arrow_forward
Kaspersky-Internet Security 2015

Kaspersky Internet Security 2015 combină o arie vastă de tehnologii ușor de folosit și riguroase pentru a vă proteja de orice tip de malware, dar si de amenințările existente pe Internet - inclusiv cybercriminalii care încearcă să vă fure banii sau identitatea. Kaspersky Lab vă oferă o soluție de securitate cu un impact minim asupra performanței PC-ului. Construit după tehn...

Citește tot arrow_forward
KasperskySmall Office Security 3

Kaspersky Small Office Security este o soluție special creată pentru microintreprinderi. Oferă o protecție de nivel înalt pentru PC si server, fiind ușor si rapid de instalat, configurat si utilizat. De asemenea, puteți administra securitatea întregii rețele de la un singur PC. Cu ajutorul bazei de date de semnături Kaspersky Lab, actualizărilor frecvente si al protecției ...

Citește tot arrow_forward
Articole IT&C similare

Producatorul brandului “Telemea de Ibanesti” isi modernizeaza fabrica

Producatorul de branzeturi Mirdatod Prod a reusit sa-si imbunatateasca procesele din fabrica, implementand solutiile SeniorERP si SeniorVisualBI. Producatorul brandului “Telemea de Ibanesti” isi gestioneaza mult mai eficient resursele si obtine rapid rapoartele si analizele financiare necesare.

Citește tot arrow_forward

În 2018, România s-a clasat pe locul 8 în topul țărilor cu cel mai mare procent de utilizatori atacați de ransomware-ul mobil

Cercetătorii Kaspersky Lab au constatat că numărul de atacuri care folosesc software periculos pentru dispozitive mobile aproape s-a dublat, în numai un an. În 2018 au existat 116,5 milioane de atacuri, comparativ cu 66,4 milioane, în 2017, cu o creștere semnificativă a numărului de utilizatori unici afectați. În ciuda faptului că sunt atacate mai multe dispozitive,...

Citește tot arrow_forward

ContentSpeed a dezvoltat platforma prin care pfarma.ro a devenit prima farmacie care vinde medicamente OTC în online din România

ContentSpeed, liderul pieței locale de software pentru sectorul de eCommerce, a dezvoltat platforma software pentru farmacia online pfarma.ro, deținută de rețeaua de farmacii Professional Farma Line, care a primit de curând licența de autorizare prin care Ministerul Sănătății aprobă oficial comercializarea online și livrarea către clientul final a produselor de tip OTC (Over-The-...

Citește tot arrow_forward