Especialistas da Kaspersky Lab identificaram uma vaga de ciberataques entre os grupos de hackers Sofacy e o GreyEnergy, grupo sucessor do BlackEnergy.
Estes dois grupos comunicam em russo e utilizam os mesmos servidores, mas com propósitos diferentes.
Os grupos de hackers BlackEnergy e Sofacy são considerados dois dos maiores atores no panorama moderno de ciberameaças. Os ataques movidos por estes grupos no passado originaram consequências devastadoras a nível nacional. O BlackEnergy deu origem a um dos maiores ciberataques da História, com as suas ações contra as instalações ucranianas de energia em 2015, que, consequemente, levaram a quedas de energia.
Por outro lado, o grupo Sofacy causou vários danos com os seus múltiplos ataques contra os EUA e organizações europeias governamentais, como também agências de segurança nacional e inteligência. Já se suspeitava que estes dois grupos estivessem relacionados, mas nunca se tinham encontrado provas, até agora: o grupo GreyEnergy, sucessor do BlackEnergy, foi apanhado a utilizar malware para atacar infraestruturas industriais de relevo, principalmente na Ucrânia, e demonstrou fortes semelhanças de arquitetura com o Sofacy.
Leia também | Malwares: Previna-se e Saiba quais são as Principais Ameaças
O departamento da ICS CERT da Kaspersky Lab, responsável pela pesquisa e eliminação de ameaças em sistemas industriais, conseguiu localizar dois servidores situados na Ucrânia e Suécia, que foram utilizados por estes grupos em simultâneo, em junho de 2018. O grupo GreyEnergy usou os servidores na sua campanha de phishing para armazenar ficheiros maliciosos e estes acabaram por ser descarregados pelos utilizadores ao abrirem um documento de texto que vinha anexado ao e-mail de phishing.
Ao mesmo tempo, o grupo Sofacy utilizou o mesmo servidor como centro de controlo para o seu próprio malware. Uma vez que estes dois grupos utilizaram o mesmo servidor, ainda que num curto espaço de tempo, esta coincidência sugere que ambos partilham a mesma infraestrutura. Isto foi confirmado pelo facto dos dois grupos terem atacado uma empresa com ataques separados por uma semana, através de e-mails de spear-phishing. Para além disso, os grupos utilizaram documentos de phishing muito semelhantes no e-mail, que vinham em nome do Ministro da Energia da República do Cazaquistão.
“A infraestrutura que acreditamos ser partilhada por estes dois grupos sugere não só que partilham a língua russa, mas também que cooperam um com o outro, o que nos dá uma ideia das suas capacidades em conjunto e permite traçar uma imagem melhor dos seus objetivos plausíveis e potenciais targets. Estas descobertas acrescentam uma nova peça importante ao conhecimento público sobre a GreyEnergy e a Sofacy. Quanto mais a indústria souber destas táticas, técnicas e procedimentos, melhor e mais facilmente os experts em segurança podem fazer o seu trabalho, protegendo os consumidores destes ataques sofisticados”, afirma Maria Garnaeva, investigadora de segurança na Kaspersky Lab ICS CERT.
Para proteger as empresas dos ataques destes grupos de hackers, a Kaspersky Lab aconselha a:
- Oferecer aos colaboradores programas de treino em cibersegurança, ensinando-os a verficar sempre o endereço dos links e o remetente, antes de clicar em qualquer conteúdo;
- Introduzir iniciativas de security awareness, incluindo treino gamificado com avaliação de competências e o seu reforço, através de várias simulações de ataques de phishing;
- Automatizar sistemas operativos e realizar atualizações a aplicações e soluções de segurança em sistemas integrantes de TI e à rede industrial da empresa;
- Implementar uma solução de proteção, que contenha tecnologias anti-phishing comportamentais, bem como tecnologias anti-targeted attack e threat intelligence, tal como a Kaspersky Threat Management and Defense solution. Estas soluções são capazes de identificar e detetar ataques avançados, através da análise de anomalias na rede e fornecendo às equipas de segurança visibilidade completa da rede e automação de resposta.
Leia a versão completa do relatório da Kaspersky Lab ICS CERT aqui.
