Οι ειδικοί της Kaspersky Lab έχουν εντοπίσει μια συσχέτιση στις κυβερνοεπιθέσεις μεταξύ δύο κακόβουλων φορέων απειλής, της GreyEnergy (η οποία πιστεύεται ότι είναι διάδοχος της BlackEnergy) και της Sofacy, ομάδας ψηφιακής κατασκοπείας. Και οι δύο απειλητικοί φορείς χρησιμοποίησαν ταυτόχρονα τους ίδιους servers, για διαφορετικό όμως σκοπό. 

Οι ομάδες hacking BlackEnergy και Sofacy θεωρούνται δύο από τους σημαντικότερους παράγοντες του σύγχρονου πεδίου κυβερνοαπειλών. Στο παρελθόν, οι δραστηριότητές τους είχαν συχνά καταστροφικές συνέπειες σε κρατικό επίπεδο. Η BlackEnergy προκάλεσε μία από τις πιο γνωστές κυβερνοεπιθέσεις στην ιστορία ενάντια στις ουκρανικές ενεργειακές εγκαταστάσεις το 2015, γεγονός που οδήγησε σε πολύωρη διακοπή ρεύματος. Παράλληλα, η ομάδα Sofacy προκάλεσε σοβαρά προβλήματα με πολλαπλές επιθέσεις εναντίον αμερικανικών και ευρωπαϊκών κυβερνητικών οργανισμών, όπως επίσης και σε εθνικές υπηρεσίες ασφάλειας και πληροφοριών. Υπήρχαν υποψίες ότι οι δύο ομάδες συνδέονται, αλλά δεν είχαν αποδειχθεί μέχρι προσφάτως, όταν η GreyEnergy – διάδοχος της BlackEnergy – διαπιστώθηκε ότι χρησιμοποιεί κακόβουλα προγράμματα για να επιτεθεί σε στoχευμένες βιομηχανικές και κρίσιμες υποδομές, κυρίως στην Ουκρανία.

Το τμήμα ICS CERT της Kaspersky Lab, υπεύθυνο για την έρευνα και την εξάλειψη απειλών που πλήττουν βιομηχανικά συστήματα, βρήκε ότι δύο servers που φιλοξενούνται στην Ουκρανία και τη Σουηδία, χρησιμοποιήθηκαν ταυτόχρονα από τους δύο απειλητικούς φορείς τον Ιούνιο του 2018. Η ομάδα GreyEnergy χρησιμοποίησε τους ίδιους servers στη phishing εκστρατεία που πραγματοποίησε, για να αποθηκεύει εκεί ένα ισχυρό κακόβουλο αρχείο. Ταυτόχρονα, η Sofacy χρησιμοποίησε τον server ως κέντρο εντολών και ελέγχου για το δικό της κακόβουλο λογισμικό. Δεδομένου ότι και οι δύο ομάδες χρησιμοποίησαν τους servers για σχετικά μικρό χρονικό διάστημα, κίνησαν τις υποψίες για πιθανή σύνδεσή τους. Αυτό επιβεβαιώθηκε από το γεγονός ότι αμφότεροι οι απειλητικοί παράγοντες στόχευαν μια εταιρεία ανά εβδομάδα, στέλνοντας phishing emails. Επιπλέον, και οι δύο ομάδες χρησιμοποίησαν έγγραφα ηλεκτρονικού “ψαρέματος” τα οποία υποτίθεται ότι στέλνονταν με τη μορφή email από το Υπουργείο Ενέργειας της Δημοκρατίας του Καζακστάν. 

«Η κοινή υποδομή που διαπιστώθηκε ότι μοιράζονται οι δυο αυτοί παράγοντες απειλής, υποδεικνύει τη δυνητική τους σύνδεση όχι μόνο λόγο της κοινής ρωσικής γλώσσας αλλά και λόγο της μεταξύ τους συνεργασίας. Παρέχει επίσης μια ιδέα για τις κοινές δυνατότητές τους και δημιουργεί καλύτερη εικόνα των πιθανών στόχων τους. Αυτά τα ευρήματα προσθέτουν άλλο ένα σημαντικό κομμάτι στη δημόσια γνώση για την GreyEnergy και την Sofacy. Όσα περισσότερα γνωρίζει ο κλάδος της ασφάλειας για τις τακτικές, τις τεχνικές και τις διαδικασίες τους, τόσο πιο αποτελεσματική θα είναι η δουλειά των ειδικών ασφαλείας για τη διασφάλιση της προστασίας των πελατών τους από εξελιγμένες επιθέσεις», δήλωσε η Maria Garnaeva, ερευνητής ασφάλειας της Kaspersky Lab ICS CERT.  

Για να προστατεύσει τις επιχειρήσεις από επιθέσεις ομάδων τέτοιου τύπου, η Kaspersky Lab συνιστά στους πελάτες της: