Hackers famosos estão compartilhando a mesma infraestrutura
24 de janeiro de 2019Descoberta reforça o que a Kaspersky Lab diz há anos: não há nenhum tipo de barreira entre o cibercrime. Por isso a necessidade de cooperação internacional entre as nações
Os especialistas da Kaspersky Lab identificaram uma sobreposição nos ciberataques de dois grupos especializados em ciberameaça famosos, o GreyEnergy – que acredita-se ser o sucessor do BlackEnergy – e o grupo de espionagem cibernética Sofacy. Ambos usaram os mesmos servidores simultaneamente, mas com finalidades diferentes.
Os grupos de hackers BlackEnergy e Sofacy são considerados os dois principais players no cenário das ciberameaças modernas. No passado, muitas vezes suas atividades tiveram consequências devastadoras. Em 2015, o BlackEnergy produziu um dos ciberataques mais famosos da história contra instalações elétricas ucranianas, que causaram vários apagões elétricos no pais. Ao mesmo tempo, o grupo Sofacy causou grande confusão com vários ataques sobre organizações governamentais, agências de inteligência e de segurança nacional dos EUA e européias.
Já se suspeitava haver uma conexão entre os dois grupos, mas isso não tinha sido provado até agora, depois que descobriu-se que o GreyEnergy – o sucessor do BlackEnergy – estava usando malware para atacar alvos industriais e de infraestrutura crítica, principalmente na Ucrânia, e que foram percebidas fortes semelhanças da arquitetura em relação ao BlackEnergy.
O departamento de segurança industrial (ICS CERT) da Kaspersky Lab, responsável pela pesquisa e eliminação de ameaças nesses sistemas, encontrou dois servidores hospedados na Ucrânia e na Suécia que foram usados simultaneamente pelos dois grupos, em junho de 2018.
O GreyEnergy usou esses servidores em uma campanha de phishing para baixar um arquivo malicioso.
Esse arquivo era executado pelos usuários que abriam um documento de texto anexado a um e-mail de phishing.
Ao mesmo tempo, o Sofacy usou esse mesmo servidor como centro de comando e controle para seu próprio malware. Como os dois grupos usaram os servidores por um tempo relativamente pequeno, essa coincidência sugere uma infraestrutura compartilhada. Isso foi confirmado pelo fato de que os dois players estavam visando, há semanas, uma empresa com e-mails de spearphishing. Além disso, os dois grupos usavam documentos de phishing semelhantes disfarçados de e-mails do Ministério de Energia da República do Cazaquistão.
“A infraestrutura comprometida compartilhada por esses dois grupos especializados possivelmente indica que eles não têm apenas o idioma russo em comum, mas também trabalham em cooperação mútua. Isso também dá uma ideia de sua capacidade conjunta e produz um quadro mais claro de suas metas e possíveis alvos. Essas constatações acrescentam outra peça importante para o público sobre o GreyEnergy e o Sofacy.
Quanto mais o setor conhece suas táticas, técnicas e procedimentos, melhor os especialistas em segurança podem trabalhar para proteger os clientes de ataques sofisticados”, afirma Maria Garnaeva, pesquisadora de segurança da Kaspersky Lab ICS CERT.
Para proteger as empresas de ataques desses grupos, a Kaspersky Lab recomenda:
– Disponibilizar treinamento específico em cibersegurança para seus funcionários, instruí-los a sempre verificar os endereços de links e o e-mail do remetente antes de clicar em qualquer link;
– Realizar iniciativas de conscientização sobre segurança, incluindo treinamentos em forma de jogos com avaliação de habilidades e reforço por meio da repetição de simulações de ataques de phishing;
– Automatizar as atualizações de sistemas operacionais, software de aplicativos e soluções de segurança nos sistemas que fazem parte da rede de TI e também da rede industrial da empresa;
– Implementar uma solução de proteção exclusiva, capacitada com tecnologias antiphishing baseadas em comportamento, além de tecnologias contra ataques direcionados e inteligência de ameaças, como a solução Kaspersky Threat Management and Defense. Elas são capazes de identificar e bloquear ataques direcionados avançados por análises de anomalias na rede e proporcionam visibilidade total da rede e automação da resposta às equipes de cibersegurança.
Leia a versão completa do relatório da Kaspersky Lab ICS CERT aqui.
Sobre a Kaspersky Lab ICS CERT
A Equipe de Resposta a Emergências Cibernéticas em Sistemas de Controle Industrial da Kaspersky Lab (ICS CERT) é um projeto internacional lançado pela Kaspersky Lab em 2016 para coordenar as iniciativas de fornecedores de sistemas de automação, proprietários e operadores de instalações industriais e pesquisadores de segurança de TI para proteger as indústrias de ciberataques. A ICS CERT da Kaspersky Lab dedica-se principalmente à identificação de ameaças potenciais e existentes que visam sistemas de automação industrial e a Internet das Coisas industrial. Durante seu primeiro ano de operação, a equipe identificou mais de 110 vulnerabilidades críticas em produtos dos principais fornecedores mundiais de ICS. A ICS CERT da Kaspersky Lab é membro e parceiro ativo de importantes organizações internacionais que desenvolvem recomendações de proteção contra ameaças virtuais para as organizações industriais. ics-cert.kaspersky.com.
Sobre a Kaspersky Lab
A Kaspersky Lab é uma empresa internacional de cibersegurança que tem mais de 20 anos de operações no mercado. A detalhada inteligência de ameaças e a especialização em segurança da Kaspersky Lab se transformam continuamente em soluções e serviços de segurança da próxima geração para proteger empresas, infraestruturas críticas, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky Lab, e ajudamos 270.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em www.kaspersky.com.br.