Odborníci spoločnosti Kaspersky Lab našli spojenie medzi kybernetickými útokmi dvoch neslávne známych kyberzločinných skupín – GreyEnergy (ktorá je zrejme nástupcom skupiny BlackEnergy) a Sofacy, ktorá sa zameriavajú na kyberšpionáž. Obidve použili rovnaké servery v rovnakom čase, ale každá s rozdielnym účelom.
Hackerské skupiny BlackEnergy a Sofacy patria medzi najobávanejších aktérov na modernej globálnej kyberzločinnej scéne. V minulosti sa podieľali na aktivitách, ktoré mali ďalekosiahle následky na infraštruktúru niektorých štátov. Skupina BlackEnergy stála za jedným z najznámejších kybernetických útokov v histórii – svoje útoky zamerala v roku 2015 na ukrajinské elektrárne a spôsobila tak výpadky elektrickej energie. Druhá skupina Sofacy spôsobila veľký zmätok svojimi útokmi na rad amerických a európskych vládnych organizácií, ktorým sa nevyhli ani národné bezpečnostné a výzvedné agentúry. Už skôr kolovali v odborných kyberbezpečnostných kruhoch domnienky, že medzi oboma skupinami existuje nejaká väzba, ale doteraz pre to neexistoval žiadny dôkaz. Teraz sa ukázalo, že GreyEnergy (nástupca skupiny BlackEnergy) využíva k útokom na prevažne ukrajinské priemyselné spoločnosti a súčasti kritickej infraštruktúry malvér, ktorý je svojou stavbou veľmi podobný nástrojom skupiny Sofacy.
Špeciálny tím ICS CERT spoločnosti Kaspersky Lab, ktorý sa zameriava na výskum a elimináciu hrozieb zameraných na priemyselné systémy, našiel dva servery hosťujúce na Ukrajine a v Švédsku, ktoré obe skupiny využili v rovnakej chvíli v júni 2018. Skupina GreyEnergy využila servery vo svojej phishingovej kampani na uloženie zhubného súboru. Ten si používatelia stiahli potom, čo otvorili textový dokument, ktorý bol v prílohe phishingového e-mailu. V tej istej chvíli využila Sofacy tento server ako C & C centrum (command and control) pre svoj vlastný malvér. Pretože obe skupiny využili servery len pomerne krátko, dá sa z tejto náhody usudzovať, že zdieľajú infraštruktúru. To potvrdzuje aj fakt, že obidve skupiny sa v rozmedzí jedného týždňa zameriavali na rovnakú firmu spear-phishingovými e-mailmi. Navyše tiež použili podobný phishingový dokument predstierajúci e-maily od Ministerstva energetiky Kazachstanu.
„Zistenie o zdieľanej infraštruktúre skupinami BlackEnergy a Sofacy poukazuje na väčšie prepojenie medzi oboma aktérmi. Poskytuje nám to hlbší pohľad do aktivít týchto rusky hovoriacich skupín, aké sú ich schopnosti, potenciálne ciele a obete,” hovorí Mária Garnaeva, bezpečnostná odborníčka zo spoločnosti Kaspersky Lab.
Aby sa firmy nestali obeťou podobných útokov, odporúčajú odborníci Kaspersky Lab nasledujúce opatrenia:
- Preškoľte zamestnancov v oblasti kybernetickej bezpečnosti. Zamerajte sa predovšetkým na zaobchádzanie s podozrivými e-mailmi, ktoré prichádzajú od neznámych odosielateľov a obsahujú odkazy či prílohy.
- Zaveďte programy na zvýšenie povedomia o kyberhrozbách, ktoré budú pre zamestnancov zábavné a v ktorých si prakticky overia svoje znalosti a zručnosti.
- Automatizujte vykonávanie aktualizácií operačného systému, aplikácií, softvérov a bezpečnostných riešení, ktoré sú súčasťou IT aj OT infraštruktúry.
- Používajte špeciálne bezpečnostné riešenie, ktoré zahŕňa behaviorálne anti-phishingové technológie a technológie ochraňujúce pred cielenými útokmi. Medzi také sa zaraďuje napríklad Kaspersky Threat Management and Defense, ktoré deteguje aj pokročilé hrozby a sieťové anomálie.
Preložené z českého originálu, ktorý pre vás pripravil samslav84.
