Cyberprzestępcy dzielą się infrastrukturą

Przeczytaj także: Ile warte są skradzione dane osobowe?

O BlackEnergy i Sofacy musiał słyszeć już chyba każdy, kto choć trochę interesuje się działaniami cyberprzestępczego półświatka. Obecnie uchodzą oni za czołowych aktorów międzynarodowej sceny cyberzagrożeń. Ich działalność niejednokrotnie już owocowała katastrofalnymi wręcz skutkami. Wystarczy przypomnieć tu chociażby głośny na cały świat atak na ukraińskie elektrownie, który w 2015 roku spowodował przerwę w dostawie energii czy destrukcyjne uderzenia w amerykańskie i europejskie organizacje rządowe. Za pierwszym z tych wydarzeń krył się gang BlackEnergy, za drugim - Sofacy.

Podejrzenia o powiązania tych dwóch ugrupowań pojawiały się już wcześniej, jednak dowody pojawiły się dopiero teraz, gdy ugrupowanie GreyEnergy – następca BlackEnergy – wykorzystało szkodliwe oprogramowanie do atakowania głównie ukraińskich obiektów przemysłowych i infrastruktury krytycznej, wykazując przy tym znaczące podobieństwa do BlackEnergy w zakresie architektury.

Dział ICS CERT Kaspersky Lab, który zajmuje się badaniem oraz eliminowaniem zagrożeń dla systemów przemysłowych, zidentyfikował dwa serwery na Ukrainie i w Szwecji, które w czerwcu 2018 r. były jednocześnie wykorzystywane przez oba opisywane ugrupowana. Ugrupowanie GreyEnergy wykorzystywało je w ramach kampanii phishingowej do przechowywania szkodliwego pliku. Plik ten był pobierany na komputery użytkowników w momencie otwierania przez nich dokumentu tekstowego załączonego do wiadomości phishingowej. Jednocześnie ugrupowanie Sofacy wykorzystywało ten sam serwer jako centrum kontroli dla własnego szkodliwego oprogramowania. Ponieważ oba ugrupowania korzystały z serwerów przez stosunkowo krótki czas, sugeruje to współdzielenie przez nie infrastruktury. Przemawia za tym fakt, że atakowały one firmę z tygodniowym odstępem czasu jedno po drugim, wykorzystując te same spersonalizowane wiadomości phishingowe. Co więcej, oba ugrupowania wykorzystywały podobne dokumenty phishingowe podszywające się pod wiadomości e-mail od Ministerstwa Energii Republiki Kazachstanu.

Fakt współdzielenia infrastruktury przez omawiane ugrupowania cyberprzestępcze może sugerować, że łączy je nie tylko język rosyjski, ale również współpraca. Daje również wyobrażenie na temat ich łącznych możliwości oraz potencjalnych celów, zarówno dążeń, jak i ataków. Ustalenia te istotnie wzbogacają dotychczasową wiedzę na temat GreyEnergy i Sofacy. Im lepiej branża pozna taktyki, techniki oraz procedury tych cybergangów, tym lepiej eksperci ds. bezpieczeństwa będą w stanie ochronić klientów przed wyrafinowanymi atakami – powiedziała Maria Garnajewa, badaczka ds. cyberbezpieczeństwa, Kaspersky Lab ICS CERT.

W celu zabezpieczenia firm przed atakami ze strony tego typu ugrupowań Kaspersky Lab zaleca klientom następujące działania:

• Zapewnienie pracownikom dostosowanego do potrzeb szkolenia w zakresie cyberbezpieczeństwa, podczas którego nauczą się m.in, aby zawsze sprawdzać adres łącza oraz pole nadawcy e-maila, zanim cokolwiek klikną.
• Wprowadzenie inicjatyw ukierunkowanych na wzrost świadomości w zakresie bezpieczeństwa, obejmujących szkolenie z elementami gry i rywalizacji, które umożliwi ocenę i utrwalenie umiejętności za pomocą wielokrotnych symulacji ataków phishingowych.
• Automatyzację aktualizacji systemów operacyjnych, oprogramowania oraz rozwiązań bezpieczeństwa w systemach stanowiących część technologii informatycznej, jak również sieci przemysłowej przedsiębiorstwa.
• Wdrożenie wyspecjalizowanego rozwiązania zabezpieczającego wyposażonego w behawioralne technologie antyphishingowe, jak również mechanizmy do ochrony przed atakami ukierunkowanymi oraz analizę zagrożeń, takie jak rozwiązanie Kaspersky Threat Management and Defense. Potrafią one rozpoznać i wykryć zaawansowane ataki ukierunkowane poprzez analizowanie anomalii w sieci i zapewnienie zespołom ds. cyberbezpieczeństwa pełnej widoczności sieci oraz automatyzacji reakcji.