Stručnjaci kompanije Kaspersky Lab identifikovali su preklapanje sajber napada između dva ozloglašena aktera pretnji, grupe GreyEnergy – za koju se veruje da je naslednik grupe BlackEnergy – i grupe koja se bavi sajber-špijunažom, Sofacy. Oba aktera koristila su iste servere u isto vreme, ali sa drugačijom svrhom.
Hakerske grupe BlackEnergy i Sofacy smatraju se za dva najveća aktera pretnji u savremenom sajber okruženju. U prošlosti, njihove aktivnosti su često dovodile do razarajućih posledica na nacionalnom nivou. Grupa BlackEnergy je svojim akcijama protiv ukrajinskih energetskih postroja 2015. godine izvela jedan od najozloglašenijih sajber napada ikada, koji je doveo do prekida napajanja.
U međuvremenu, grupa Sofacy izazvala je pometnju višestrukim napadima na američke i evropske vladine organizacije i nacionalne bezbednosne i obaveštajne agencije. Prethodno se sumnjalo da postoji veza između ove dve grupe, ali to nije bilo dokazano sve do sada, zahvaljujuči otkriću da GreyEnergy – naslednik grupe BlackEnergy – koristi zlonamerni softver za napade na industrijske mete i kritične infrastrukturne, uglavnom u Ukrajini. Grupa je takođe pokazala i izuzetne arhitektonske sličnosti sa akterom pretnji BlackEnergy.
ICS CERT odsek kompanije Kaspersky Lab, koji je odgovoran za istraživanje i eliminaciju pretnji industrijskih sistema, pronašao je dva servera hostovana u Ukrajini i Švedskoj, koji su korišćeni od strane oba aktera u isto vreme u junu 2018. godine. Grupa GreyEnergy koristila je servere u svojoj fišing kampanji za distribuciju zlonamernog fajla. Korisnici su preuzimali ovu datoteku prilikom otvaranja tekstualnog dokumenta koji je bio priložen u fišing i-mejlu. U isto vreme, grupa Sofacy je koristila server kao komandni i kontrolni centar za sopstvene malvare. S obzirom na to da su obe grupe koristile servere u relativno kratkom vremenskom periodu, takva slučajnost ukazuje na zajedničku infrastrukturu. Ovo je potvrđeno činjenicom da su oba aktera ciljala istu kompaniju fišing i-mejlovima, u razmaku od nedelju dana. Štaviše, obe grupe su koristile slične fišing dokumente koji su izgledali kao i-mejlovi Ministarstva energetike Republike Kazahstan.
„Kompromitovana infrastruktura za koju se smatra da je deljena od strane ova dva aktera pretnji potencijalno ukazuje na činjenicu da oni ne samo da dele rusko govorno područje, već i da međusobno sarađuju. Ona takođe pruža ideju o njihovim zajedničkim sposobnostima i stvara bolju sliku njihovih ciljeva i potencijalnih meta. Ovi nalazi dodaju još jedan važan segment onome što javnost zna o grupama GreyEnergy i Sofacy. Što se više zna o njihovim taktikama, tehnikama i procedurama, utoliko bolje bezbednosni stručnjaci mogu obavljati svoj posao zaštite klijenata od sofisticiranih napada “, izjavila je Marija Garnaeva (Maria Garnaeva), bezbednosni istraživač u ICS CERT timu kompanije Kaspersky Lab.
Kako bi se preduzeća zaštitila od napada takvih grupa, kompanija Kaspersky Lab preporučuje korisnicima da:
- Obezbede sajber-bezbednosnu obuku za zaposlene; podučite ih da uvek proveravaju adresu linkova i pošiljaoca pre nego što kliknu na bilo šta
- Uvedu inicijative koje bi podigle svesti o bezbednosti, uključujući i obuku koja bi uključivala procenu veština i učenje kroz ponavljanje simuliranih fišing napada.
- Automatizuju operativne sisteme i ažuriranje aplikacionog softvera i bezbednosnih rešenja na sistemima koji su deo IT segmenta, kao i industrijske mreže preduzeća.
- Koriste namensko rešenje za zaštitu, ojačano anti-fišing tehnologijama baziranim na ponašanju, kao i tehnologijama protiv ciljanih napada i informacijama o pretnjama, kao što je rešenje Kaspersky Threat Manragement and Defense. Ovakva rešenja su u stanju da uoče napredne ciljane napade analizirajući mrežne anomalije, pružajući sajber-bezbednosnim timovima potpunu vidljivost mreže i automatizaciju odgovora.