Kaspersky Lab выяснила, что группы GreyEnergy и Sofacy использовали одну инфраструктуру

24 января 2019
Эксперты Kaspersky Lab обнаружили, что две известные, предположительно русскоязычные, группы GreyEnergy и Sofacy в июне 2018 года использовали одни и те же серверы на Украине и в Швеции.

GreyEnergy считают приемником группы BlackEnergy, печально известной благодаря своим масштабным операциям. В частности, злоумышленники из BlackEnergy атаковали объекты электроэнергетики Украины в декабре 2015 года, отключив около 1% всех энергопотребителей страны. Группировка Sofacy известна своими операциям по кибершпионажу, нацеленными в том числе на американские и европейские правительственные организации.

Специалисты центра Kaspersky Lab ICS CERT установили, что злоумышленники из GreyEnergy в ходе фишинговой кампании использовали два сервера, с которых при открытии документа, прикреплённого к фишинговому письму, загружались вредоносные файлы. Группировка Sofacy использовала эти же серверы в качестве центров управления своим вредоносным ПО. Эти серверы использовались обеими группировками относительно недолго и в одно и то же время. Вероятно, GreyEnergy и Sofacy делились друг с другом своей инфраструктурой.

Предположение о связях GreyEnergy и Sofacy подтверждается и тем, что в числе мишеней обеих группировок была одна и та же компания в Казахстане, атакованная ими с разницей в неделю. Обе атаки при этом осуществлялись с применением фишинговых писем, посланных якобы от имени Министерства энергетики Республики Казахстан и содержащих схожие вложения.

"Мы надеемся, что обнаруженный факт использования группировками Sofacy и GreyEnergy одной и той же инфраструктуры, равно как и другие улики, свидетельствующие в пользу предположения о возможной связи между ними, помогут исследователям безопасности в обнаружении атак и расследовании инцидентов. Чем больше мы знаем об атакующих, тем лучше мы можем защищать наших клиентов", – отметила Мария Гарнаева, старший антивирусный эксперт Kaspersky Lab ICS CERT.

Для защиты организаций от целевых атак Kaspersky Lab рекомендует:

  • проводить тренинги по кибербезопасности для сотрудников, учить их правилам кибергигиены – защите от случайных заражений, фишинговых атак и атак, использующих методы социальной инженерии, например, с помощью платформы Kaspersky Security Awareness;
  • наладить процесс установки обновления информационной безопасности ОС, прикладного ПО;
  • следить за правильностью настройки и актуальностью антивирусных баз и прочих решений по защите IT-систем и технологических систем организации;
  • наладить в организации процесс обнаружения компьютерных атак и реагирования на компьютерные инциденты; в создании своей собственной профессиональной команды вам поможет программа тренингов Kaspersky Security Trainings, а со сложными инцидентами будет проще разобраться при помощи Kaspersky Incident Response;
  • отслеживать новые методы и технологии, используемые злоумышленниками для проведения атак, с помощью платформы информирования о киберугрозах, такой как Kaspersky Threat Intelligence;
  • использовать продукты и услуги, специально разработанные для защиты от целевых атак, например, те, что входят в состав Kaspersky Threat Management and Defense.
С полной версией отчёта Kaspersky Lab ICS CERT можно ознакомиться здесь.