Οι ειδικοί της Kaspersky Lab έχουν εντοπίσει μια συσχέτιση στις κυβερνοεπιθέσεις μεταξύ δύο κακόβουλων φορέων απειλής, της GreyEnergy (η οποία πιστεύεται ότι είναι διάδοχος της BlackEnergy) και της Sofacy, ομάδας ψηφιακής κατασκοπείας. Και οι δύο απειλητικοί φορείς χρησιμοποίησαν ταυτόχρονα τους ίδιους servers, για διαφορετικό όμως σκοπό.
Οι ομάδες hacking BlackEnergy και Sofacy θεωρούνται δύο από τους σημαντικότερους παράγοντες του σύγχρονου πεδίου κυβερνοαπειλών. Στο παρελθόν, οι δραστηριότητές τους είχαν συχνά καταστροφικές συνέπειες σε κρατικό επίπεδο. Η BlackEnergy προκάλεσε μία από τις πιο γνωστές κυβερνοεπιθέσεις στην ιστορία ενάντια στις ουκρανικές ενεργειακές εγκαταστάσεις το 2015, γεγονός που οδήγησε σε πολύωρη διακοπή ρεύματος. Παράλληλα, η ομάδα Sofacy προκάλεσε σοβαρά προβλήματα με πολλαπλές επιθέσεις εναντίον αμερικανικών και ευρωπαϊκών κυβερνητικών οργανισμών, όπως επίσης και σε εθνικές υπηρεσίες ασφάλειας και πληροφοριών. Υπήρχαν υποψίες ότι οι δύο ομάδες συνδέονται, αλλά δεν είχαν αποδειχθεί μέχρι προσφάτως, όταν η GreyEnergy - διάδοχος της BlackEnergy - διαπιστώθηκε ότι χρησιμοποιεί κακόβουλα προγράμματα για να επιτεθεί σε στoχευμένες βιομηχανικές και κρίσιμες υποδομές, κυρίως στην Ουκρανία.
Το τμήμα ICS CERT της Kaspersky Lab, υπεύθυνο για την έρευνα και την εξάλειψη απειλών που πλήττουν βιομηχανικά συστήματα, βρήκε ότι δύο servers που φιλοξενούνται στην Ουκρανία και τη Σουηδία, χρησιμοποιήθηκαν ταυτόχρονα από τους δύο απειλητικούς φορείς τον Ιούνιο του 2018. Η ομάδα GreyEnergy χρησιμοποίησε τους ίδιους servers στη phishing εκστρατεία που πραγματοποίησε, για να αποθηκεύει εκεί ένα ισχυρό κακόβουλο αρχείο. Ταυτόχρονα, η Sofacy χρησιμοποίησε τον server ως κέντρο εντολών και ελέγχου για το δικό της κακόβουλο λογισμικό. Δεδομένου ότι και οι δύο ομάδες χρησιμοποίησαν τους servers για σχετικά μικρό χρονικό διάστημα, κίνησαν τις υποψίες για πιθανή σύνδεσή τους. Αυτό επιβεβαιώθηκε από το γεγονός ότι αμφότεροι οι απειλητικοί παράγοντες στόχευαν μια εταιρεία ανά εβδομάδα, στέλνοντας phishing emails. Επιπλέον, και οι δύο ομάδες χρησιμοποίησαν έγγραφα ηλεκτρονικού "ψαρέματος" τα οποία υποτίθεται ότι στέλνονταν με τη μορφή email από το Υπουργείο Ενέργειας της Δημοκρατίας του Καζακστάν.
«Η κοινή υποδομή που διαπιστώθηκε ότι μοιράζονται οι δυο αυτοί παράγοντες απειλής, υποδεικνύει τη δυνητική τους σύνδεση όχι μόνο λόγο της κοινής ρωσικής γλώσσας αλλά και λόγο της μεταξύ τους συνεργασίας. Παρέχει επίσης μια ιδέα για τις κοινές δυνατότητές τους και δημιουργεί καλύτερη εικόνα των πιθανών στόχων τους. Αυτά τα ευρήματα προσθέτουν άλλο ένα σημαντικό κομμάτι στη δημόσια γνώση για την GreyEnergy και την Sofacy. Όσα περισσότερα γνωρίζει ο κλάδος της ασφάλειας για τις τακτικές, τις τεχνικές και τις διαδικασίες τους, τόσο πιο αποτελεσματική θα είναι η δουλειά των ειδικών ασφαλείας για τη διασφάλιση της προστασίας των πελατών τους από εξελιγμένες επιθέσεις», δήλωσε η Maria Garnaeva, ερευνητής ασφάλειας της Kaspersky Lab ICS CERT.
Για να προστατεύσει τις επιχειρήσεις από επιθέσεις ομάδων τέτοιου τύπου, η Kaspersky Lab συνιστά στους πελάτες της:
- Να παρέχουν στους εργαζόμενους ειδική εκπαίδευση στον κυβερνοχώρο, εκπαιδεύοντάς τους να ελέγχουν πάντα τη διεύθυνση του link και το email του αποστολέα πριν κλικάρουν σε οτιδήποτε.
- Να προβαίνουν σε πρωτοβουλίες ευαισθητοποίησης σχετικά με την ασφάλεια, συμπεριλαμβανομένης της τυποποιημένης κατάρτισης με αξιολογήσεις δεξιοτήτων και ενίσχυση μέσω της επανάληψης προσομοιωμένων επιθέσεων ηλεκτρονικού "ψαρέματος".
- Να αυτοματοποιήσουν τα λειτουργικά συστήματα, το λογισμικό εφαρμογών και τις ενημερώσεις λύσεων ασφάλειας σε συστήματα που αποτελούν μέρος του τομέα της Πληροφορικής, καθώς και του βιομηχανικού δικτύου της επιχείρησης.
- Να ανάπτυξουν μια εξειδικευμένη λύση προστασίας, ενισχυμένης με anti-phishing τεχνολογίες που βασίζονται στη συμπεριφορά, όπως η λύση Kaspersky Threat Management and Defense. Οι λύσεις αυτές είναι σε θέση να εντοπίζουν και να αντιμετωπίζουν προηγμένες στοχευμένες επιθέσεις, αναλύοντας τις ανωμαλίες του δικτύου και δίνοντας στην ομάδα ψηφιακής ασφάλειας πλήρη ορατότητα στο δικτύο και αυτοματοποιημένη απόκριση.
Εδώ μπορείτε να βρείτε την πλήρη έκθεση του Kaspersky Lab ICS CERT.