Os grupos de hackers BlackEnergy e Sofacy ccomunicam entre si e utilizam os mesmos servidores, mas com propósitos diferentes
|
Os ataques movidos por estes grupos no passado originaram consequências devastadoras a nível nacional. O BlackEnergy deu origem a um dos maiores ciberataques da História, com as suas ações contra as instalações ucranianas de energia em 2015, que, consequemente, levaram a quedas de energia. Por outro lado, o grupo Sofacy causou vários danos com os seus múltiplos ataques contra os EUA e organizações europeias governamentais, como também agências de segurança nacional e inteligência. Já se suspeitava que estes dois grupos estivessem relacionados, mas nunca se tinham encontrado provas, até agora: o grupo GreyEnergy, sucessor do BlackEnergy, foi apanhado a utilizar malware para atacar infraestruturas industriais de relevo, principalmente na Ucrânia, e demonstrou fortes semelhanças de arquitetura com o Sofacy. O departamento da ICS CERT da Kaspersky Lab, responsável pela pesquisa e eliminação de ameaças em sistemas industriais, conseguiu localizar dois servidores situados na Ucrânia e Suécia, que foram utilizados por estes grupos em simultâneo, em junho de 2018. O grupo GreyEnergy usou os servidores na sua campanha de phishing para armazenar ficheiros maliciosos e estes acabaram por ser descarregados pelos utilizadores ao abrirem um documento de texto que vinha anexado ao e-mail de phishing. Ao mesmo tempo, o grupo Sofacy utilizou o mesmo servidor como centro de controlo para o seu próprio malware. Uma vez que estes dois grupos utilizaram o mesmo servidor, ainda que num curto espaço de tempo, esta coincidência sugere que ambos partilham a mesma infraestrutura. Isto foi confirmado pelo facto dos dois grupos terem atacado uma empresa com ataques separados por uma semana, através de e-mails de spear-phishing. Para além disso, os grupos utilizaram documentos de phishing muito semelhantes no e-mail, que vinham em nome do Ministro da Energia da República do Cazaquistão. “A infraestrutura que acreditamos ser partilhada por estes dois grupos sugere não só que partilham a língua russa, mas também que cooperam um com o outro, o que nos dá uma ideia das suas capacidades em conjunto e permite traçar uma imagem melhor dos seus objetivos plausíveis e potenciais targets. Estas descobertas acrescentam uma nova peça importante ao conhecimento público sobre a GreyEnergy e a Sofacy. Quanto mais a indústria souber destas táticas, técnicas e procedimentos, melhor e mais facilmente os experts em segurança podem fazer o seu trabalho, protegendo os consumidores destes ataques sofisticados”, afirma Maria Garnaeva, investigadora de segurança na Kaspersky Lab ICS CERT. |
Receba todas as novidades na sua caixa de correio!
