Kaspersky Lab a identificat o suprapunere a atacurilor cibernetice între două grupuri ruse

Autor: Andra Stroe Postat la 25 ianuarie 2019 67 afişări

Experţii Kaspersky Lab au identificat o suprapunere a atacurilor cibernetice între două grupuri, GreyEnergy – care se crede că este succesorul BlackEnergy – şi gruparea de spionaj cibernetic Sofacy. Ambii actori au folosit aceleaşi servere în acelaşi timp, dar în scopuri diferite.

Kaspersky Lab a identificat o suprapunere a atacurilor cibernetice între două grupuri ruse
Grupările de hacking BlackEnergy şi Sofacy sunt considerate doi dintre principalii actori din peisajul modern al ameninţărilor cibernetice. În trecut, activităţile lor au dus deseori la consecinţe grave, la nivel naţional. BlackEnergy a provocat unul dintre cele mai cunoscute atacuri cibernetice din istorie, atacând instalaţiile energetice ucrainene în 2015, ceea ce a dus la întreruperi în furnizarea curentului electric. Între timp, grupul Sofacy a declanşat atacuri împotriva organizaţiilor guvernamentale americane şi europene, precum şi împotriva agenţiilor de securitate naţională şi de informaţii. A existat şi anterior bănuiala privind o  legătură între cele două grupuri, dar nu s-a dovedit până acum, când succesorul lui BlackEnergy – GreyEnergy – a folosit malware pentru a ataca ţinte de infrastructură industrială şi critică, în special din Ucraina, existând puternice asemănări de structură cu BlackEnergy.

Departamentul ICS CERT al Kaspersky Lab, responsabil cu cercetarea şi eliminarea ameninţărilor pentru sistemele industriale, a găsit două servere găzduite în Ucraina şi Suedia, utilizate de ambele grupări, în acelaşi timp, în iunie 2018. GreyEnergy a folosit serverele în campania sa de phishing pentru a stoca un fişier periculos. Acest fişier a fost descărcat de utilizatori în momentul deschiderii unui document text ataşat la un e-mail de phishing. În acelaşi timp, Sofacy a folosit serverul ca centru de comandă şi control pentru propriul malware. Deoarece ambele grupuri au folosit serverele pentru un timp relativ scurt, o astfel de coincidenţă sugerează o infrastructură comună. Acest lucru a fost confirmat de faptul că ambii atacatori au vizat aceeaşi companie, la distanţă de o săptămână, cu e-mail-uri de phishing. În plus, ambele grupuri au folosit documente similare de tip phishing sub forma unor e-mail-uri de la Ministerul Energiei din Republica Kazahstan.

 

Urmărește Business Magazin

Am mai scris despre:
cibernetic,
spionaj,
kaspersky

Preluarea fără cost a materialelor de presă (text, foto si/sau video), purtătoare de drepturi de proprietate intelectuală, este aprobată de către www.bmag.ro doar în limita a 250 de semne. Spaţiile şi URL-ul/hyperlink-ul nu sunt luate în considerare în numerotarea semnelor. Preluarea de informaţii poate fi făcută numai în acord cu termenii agreaţi şi menţionaţi in această pagină.