Kaspersky Lab descobre ligação entre dois grupos de cibercrime

Os grupos de hackers BlackEnergy e Sofacy ccomunicam entre si e utilizam os mesmos servidores, mas com propósitos diferentes

Kaspersky Lab descobre ligação entre dois grupos de cibercrime

Os ataques movidos por estes grupos no passado originaram consequências devastadoras a nível nacional. O BlackEnergy deu origem a um dos maiores ciberataques da História, com as suas ações contra as instalações ucranianas de energia em 2015, que, consequemente, levaram a quedas de energia.

Por outro lado, o grupo Sofacy causou vários danos com os seus múltiplos ataques contra os EUA e organizações europeias governamentais, como também agências de segurança nacional e  inteligência. 

Já se suspeitava que estes dois grupos estivessem relacionados, mas nunca se tinham encontrado provas, até agora: o grupo GreyEnergy, sucessor do BlackEnergy, foi apanhado a utilizar malware para atacar infraestruturas industriais de relevo, principalmente na Ucrânia, e demonstrou fortes semelhanças de arquitetura com o Sofacy.

O departamento da ICS CERT da Kaspersky Lab, responsável pela pesquisa e eliminação de ameaças em sistemas industriais, conseguiu localizar dois servidores situados na Ucrânia e Suécia, que foram utilizados por estes grupos em simultâneo, em junho de 2018. O grupo GreyEnergy usou os servidores na sua campanha de phishing para armazenar ficheiros maliciosos e estes acabaram por ser descarregados pelos utilizadores ao abrirem um documento de texto que vinha anexado ao e-mail de phishing.

Ao mesmo tempo, o grupo Sofacy utilizou o mesmo servidor como centro de controlo para o seu próprio malware. Uma vez que estes dois grupos utilizaram o mesmo servidor, ainda que num curto espaço de tempo, esta coincidência sugere que ambos partilham a mesma infraestrutura. Isto foi confirmado pelo facto dos dois grupos terem atacado uma empresa com ataques separados por uma semana, através de e-mails de spear-phishing. Para além disso, os grupos utilizaram documentos de phishing muito semelhantes no e-mail, que vinham em nome do Ministro da Energia da República do Cazaquistão.

“A infraestrutura que acreditamos ser partilhada por estes dois grupos sugere não só que partilham a língua russa, mas também que cooperam um com o outro, o que nos dá uma ideia das suas capacidades em conjunto e permite traçar uma imagem melhor dos seus objetivos plausíveis e potenciais targets. Estas descobertas acrescentam uma nova peça importante ao conhecimento público sobre a GreyEnergy e a Sofacy. Quanto mais a indústria souber destas táticas, técnicas e procedimentos, melhor e mais facilmente os experts em segurança podem fazer o seu trabalho, protegendo os consumidores destes ataques sofisticados”, afirma Maria Garnaeva, investigadora de segurança na Kaspersky Lab ICS CERT.

Tags
Notícias relacionadas

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 26 Julho 2020

IT INSIGHT Nº 26 Julho 2020

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.