Zaloguj się lub włącz wersję mobilną
StartDodaj artykułMoje artykułyMoje kontoSzukaj artykułówPomocKontakt

Kategorie

Strona PDFStrona HTML

Wspólny element dwóch ugrupowań cyberprzestępczych

Wspólny element dwóch ugrupowań cyberprzestępczych



ID artykułu: 56611 / 2264
URL: http://www.publikuj.org/56611

Eksperci z Kaspersky Lab zidentyfikowali element łączący cyberataki dwóch znanych ugrupowań cyberprzestępczych: GreyEnergy które uchodzi za następcę BlackEnergy oraz Sofacy. Oba cybergangi wykorzystywały jednocześnie te same serwery, jednak w różnych celach.

Ugrupowania BlackEnergy oraz Sofacy zaliczają się do czołowych graczy na współczesnej arenie cyberzagrożeń. W przeszłości ich działania często wywoływały katastrofalne skutki w skali całych krajów. BlackEnergy odpowiada za jeden z najbardziej znanych cyberataków w historii w 2015 r. jego działania wymierzone w ukraińskie elektrownie spowodowały przerwę w dostawie energii elektrycznej. Z kolei ugrupowanie Sofacy dokonało wielu destrukcyjnych ataków na amerykańskie i europejskie organizacje rządowe, jak również agencje wywiadowcze i bezpieczeństwa narodowego. Już wcześniej podejrzewano, że ugrupowania te są ze sobą powiązane, jednak dowody pojawiły się dopiero teraz, gdy okazało się, że gang GreyEnergy następca BlackEnergy wykorzystywał szkodliwe oprogramowanie do atakowania głównie ukraińskich obiektów przemysłowych i infrastruktury krytycznej i wykazuje znaczące podobieństwa do BlackEnergy w zakresie architektury.

Dział ICS CERT Kaspersky Lab, który zajmuje się badaniem oraz eliminowaniem zagrożeń dla systemów przemysłowych, zidentyfikował dwa serwery na Ukrainie i w Szwecji, które w czerwcu 2018 r. były jednocześnie wykorzystywane przez oba opisywane ugrupowana. Ugrupowanie GreyEnergy wykorzystywało je w ramach kampanii phishingowej do przechowywania szkodliwego pliku. Plik ten był pobierany na komputery użytkowników w momencie otwierania przez nich dokumentu tekstowego załączonego do wiadomości phishingowej. Jednocześnie ugrupowanie Sofacy wykorzystywało ten sam serwer jako centrum kontroli dla własnego szkodliwego oprogramowania. Ponieważ oba ugrupowania korzystały z serwerów przez stosunkowo krótki czas, sugeruje to współdzielenie przez nie infrastruktury. Przemawia za tym fakt, że atakowały one firmę z tygodniowym odstępem czasu jedno po drugim, wykorzystując te same spersonalizowane wiadomości phishingowe. Co więcej, oba ugrupowania wykorzystywały podobne dokumenty phishingowe podszywające się pod wiadomości e-mail od Ministerstwa Energii Republiki Kazachstanu.

Fakt współdzielenia infrastruktury przez omawiane ugrupowania cyberprzestępcze może sugerować, że łączy je nie tylko język rosyjski, ale również współpraca. Daje również wyobrażenie na temat ich łącznych możliwości oraz potencjalnych celów, zarówno dążeń, jak i ataków. Ustalenia te istotnie wzbogacają dotychczasową wiedzę na temat GreyEnergy i Sofacy. Im lepiej branża pozna taktyki, techniki oraz procedury tych cybergangów, tym lepiej eksperci ds. bezpieczeństwa będą w stanie ochronić klientów przed wyrafinowanymi atakami powiedziała Maria Garnajewa, badaczka ds. cyberbezpieczeństwa, Kaspersky Lab ICS CERT.

W celu zabezpieczenia firm przed atakami ze strony tego typu ugrupowań Kaspersky Lab zaleca klientom następujące działania:

  • Zapewnienie pracownikom dostosowanego do potrzeb szkolenia w zakresie cyberbezpieczeństwa, podczas którego nauczą się m.in, aby zawsze sprawdzać adres łącza oraz pole nadawcy e-maila, zanim cokolwiek klikną.
  • Wprowadzenie inicjatyw ukierunkowanych na wzrost świadomości w zakresie bezpieczeństwa, obejmujących szkolenie z elementami gry i rywalizacji, które umożliwi ocenę i utrwalenie umiejętności za pomocą wielokrotnych symulacji ataków phishingowych.
  • Automatyzację aktualizacji systemów operacyjnych, oprogramowania oraz rozwiązań bezpieczeństwa w systemach stanowiących część technologii informatycznej, jak również sieci przemysłowej przedsiębiorstwa.
  • Wdrożenie wyspecjalizowanego rozwiązania zabezpieczającego wyposażonego w behawioralne technologie antyphishingowe, jak również mechanizmy do ochrony przed atakami ukierunkowanymi oraz analizę zagrożeń, takie jak rozwiązanie Kaspersky Threat Management and Defense. Potrafią one rozpoznać i wykryć zaawansowane ataki ukierunkowane poprzez analizowanie anomalii w sieci i zapewnienie zespołom ds. cyberbezpieczeństwa pełnej widoczności sieci oraz automatyzacji reakcji.
Pełna wersja raportu opublikowanego przez dział ICS CERT Kaspersky Lab jest dostępna na stronie https://r.kaspersky.pl/KbChv< span style="font-size: 11.0pt; line-height: 115%; mso-ansi-language: PL; mso-bidi-font-weight: bold;">.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.


Piotr Kupczyk
Dyrektor biura komunikacji z mediami, Kaspersky Lab Polska
E-mail: piotr.kup czyk@kaspersky.pl
Tel. 34 390 94 00

 Opcje
Aktywacja: 24/01/19 12:01, odsłony: 48
Słowa kluczowe: artykuły do przedruku bezpieczeństwo, artykuły do przedruku internet i komputery
 Zamknij Ta strona korzysta z plików cookies w celu realizacji usług i zgodnie z polityką cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce, kliknij tutaj aby dowiedzieć się więcej.