Ugrupowania BlackEnergy oraz Sofacy zaliczają się do czołowych graczy na współczesnej arenie cyberzagrożeń. W przeszłości ich działania często wywoływały katastrofalne skutki w skali całych krajów. BlackEnergy odpowiada za jeden z najbardziej znanych cyberataków w historii – w 2015 r. jego działania wymierzone w ukraińskie elektrownie spowodowały przerwę w dostawie energii elektrycznej. Z kolei ugrupowanie Sofacy dokonało wielu destrukcyjnych ataków na amerykańskie i europejskie organizacje rządowe, jak również agencje wywiadowcze i bezpieczeństwa narodowego.

Już wcześniej podejrzewano, że są ze sobą powiązane, jednak dowody pojawiły się dopiero teraz, gdy okazało się, że gang GreyEnergy – następca BlackEnergy – wykorzystywał szkodliwe oprogramowanie do atakowania głównie ukraińskich obiektów przemysłowych i infrastruktury krytycznej i wykazuje znaczne podobieństwa do BlackEnergy w zakresie architektury.

Dział ICS CERT Kaspersky Lab, który zajmuje się badaniem oraz eliminowaniem zagrożeń dla systemów przemysłowych, zidentyfikował dwa serwery na Ukrainie i w Szwecji, które w czerwcu 2018 r. były jednocześnie wykorzystywane przez oba opisywane ugrupowania. GreyEnergy wykorzystywało je w ramach kampanii phishingowej do przechowywania szkodliwego pliku. Plik ten był pobierany na komputery użytkowników w momencie otwierania przez nich dokumentu tekstowego załączonego do wiadomości phishingowej. Jednocześnie ugrupowanie Sofacy wykorzystywało ten sam serwer jako centrum kontroli dla własnego szkodliwego oprogramowania. Ponieważ oba ugrupowania korzystały z serwerów przez stosunkowo krótki czas, sugeruje to współdzielenie przez nie infrastruktury. Przemawia za tym fakt, że atakowały one firmę z tygodniowym odstępem czasu jedno po drugim, wykorzystując te same spersonalizowane wiadomości phishingowe. Co więcej, oba ugrupowania wykorzystywały podobne dokumenty phishingowe podszywające się pod wiadomości e-mail od Ministerstwa Energii Republiki Kazachstanu.

Źródło: Kaspersky Lab