Segundo a Kaspersky Lab, os grupos de hackers BlackEnergy e Sofacy são considerados dois dos maiores actores no panorama moderno de ciberameaças.
O BlackEnergy deu origem a um dos maiores ciberataques da história, com as suas acções contra as instalações ucranianas de energia em 2015, que, consequentemente, levaram a quedas de energia.
Por outro lado, o grupo Sofacy causou vários danos com os seus múltiplos ataques contra os EUA e organizações europeias governamentais, como também agências de segurança nacional e inteligência.
Já se suspeitava que estes dois grupos estivessem relacionados, mas nunca se tinham encontrado provas, até agora: o grupo GreyEnergy, sucessor do BlackEnergy, foi apanhado a utilizar malware para atacar infraestruturas industriais de relevo, principalmente na Ucrânia, e demonstrou fortes semelhanças de arquitectura com o Sofacy.
O departamento da ICS CERT da Kaspersky Lab, responsável pela pesquisa e eliminação de ameaças em sistemas industriais, conseguiu localizar dois servidores situados na Ucrânia e Suécia, que foram utilizados por estes grupos em simultâneo, em Junho de 2018.
O grupo GreyEnergy usou os servidores na sua campanha de phishing para armazenar ficheiros maliciosos e estes acabaram por ser descarregados pelos utilizadores ao abrirem um documento de texto que vinha anexado ao e-mail de phishing. Ao mesmo tempo, o grupo Sofacy utilizou o mesmo servidor como centro de controlo para o seu próprio malware.
Uma vez que estes dois grupos utilizaram o mesmo servidor, ainda que num curto espaço de tempo, esta coincidência sugere que ambos partilham a mesma infraestrutura. Isto foi confirmado pelo facto dos dois grupos terem atacado uma empresa, com ataques separados por uma semana, através de e-mails de spear-phishing.
“A infraestrutura que acreditamos ser partilhada por estes dois grupos sugere não só que partilham a língua russa, mas também que cooperam um com o outro, o que nos dá uma ideia das suas capacidades em conjunto e permite traçar uma imagem melhor dos seus objectivos e potenciais targets. Estas descobertas acrescentam uma nova peça importante ao conhecimento público sobre a GreyEnergy e a Sofacy. Quanto mais a indústria souber destas tácticas, técnicas e procedimentos, melhor e mais facilmente os experts em segurança podem fazer o seu trabalho, protegendo os consumidores destes ataques sofisticados”, afirmou Maria Garnaeva, investigadora de segurança na Kaspersky Lab ICS CERT.
Via Kaspersky Lab.
