Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Dwa ugrupowania cyberprzestępcze współdzielą infrastrukturę

25-01-2019, 19:47

Eksperci cyberbezpieczeństwa zidentyfikowali element łączący cyberataki dwóch znanych ugrupowań cyberprzestępczych: GreyEnergy – które uchodzi za następcę BlackEnergy – oraz Sofacy. Oba cybergangi wykorzystywały jednocześnie te same serwery, jednak w różnych celach.

robot sprzątający

reklama


Ugrupowania BlackEnergy oraz Sofacy zaliczają się do czołowych graczy na współczesnej arenie cyberzagrożeń. W przeszłości ich działania często wywoływały katastrofalne skutki w skali całych krajów. BlackEnergy odpowiada za jeden z najbardziej znanych cyberataków w historii – w 2015 r. jego działania wymierzone w ukraińskie elektrownie spowodowały przerwę w dostawie energii elektrycznej. Z kolei ugrupowanie Sofacy dokonało wielu destrukcyjnych ataków na amerykańskie i europejskie organizacje rządowe, jak również agencje wywiadowcze i bezpieczeństwa narodowego.

Już wcześniej podejrzewano, że są ze sobą powiązane, jednak dowody pojawiły się dopiero teraz, gdy okazało się, że gang GreyEnergy – następca BlackEnergy – wykorzystywał szkodliwe oprogramowanie do atakowania głównie ukraińskich obiektów przemysłowych i infrastruktury krytycznej i wykazuje znaczne podobieństwa do BlackEnergy w zakresie architektury.

Dział ICS CERT Kaspersky Lab, który zajmuje się badaniem oraz eliminowaniem zagrożeń dla systemów przemysłowych, zidentyfikował dwa serwery na Ukrainie i w Szwecji, które w czerwcu 2018 r. były jednocześnie wykorzystywane przez oba opisywane ugrupowania. GreyEnergy wykorzystywało je w ramach kampanii phishingowej do przechowywania szkodliwego pliku. Plik ten był pobierany na komputery użytkowników w momencie otwierania przez nich dokumentu tekstowego załączonego do wiadomości phishingowej. Jednocześnie ugrupowanie Sofacy wykorzystywało ten sam serwer jako centrum kontroli dla własnego szkodliwego oprogramowania. Ponieważ oba ugrupowania korzystały z serwerów przez stosunkowo krótki czas, sugeruje to współdzielenie przez nie infrastruktury. Przemawia za tym fakt, że atakowały one firmę z tygodniowym odstępem czasu jedno po drugim, wykorzystując te same spersonalizowane wiadomości phishingowe. Co więcej, oba ugrupowania wykorzystywały podobne dokumenty phishingowe podszywające się pod wiadomości e-mail od Ministerstwa Energii Republiki Kazachstanu.

Źródło: Kaspersky Lab


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *