«Лаборатория Касперского» выяснила, что группы GreyEnergy и Sofacy использовали одну инфраструктуру

Эксперты «Лаборатории Касперского» обнаружили, что две известные, предположительно русскоязычные, группы GreyEnergy и Sofacy в июне 2018 года использовали одни и те же серверы на Украине и в Швеции.

GreyEnergy считают приемником группы BlackEnergy, печально известной благодаря своим масштабным операциям. В частности, злоумышленники из BlackEnergy атаковали объекты электроэнергетики Украины в декабре 2015 года, отключив около 1% всех энергопотребителей страны. Группировка Sofacy известна своими операциям по кибершпионажу, нацеленными в том числе на американские и европейские правительственные организации.

Специалисты центра Kaspersky Lab ICS CERT установили, что злоумышленники из GreyEnergy в ходе фишинговой кампании использовали два сервера, с которых при открытии документа, прикреплённого к фишинговому письму, загружались вредоносные файлы. Группировка Sofacy использовала эти же серверы в качестве центров управления своим вредоносным ПО. Эти серверы использовались обеими группировками относительно недолго и в одно и то же время. Вероятно, GreyEnergy и Sofacy делились друг с другом своей инфраструктурой.

Предположение о связях GreyEnergy и Sofacy подтверждается и тем, что в числе мишеней обеих группировок была одна и та же компания в Казахстане, атакованная ими с разницей в неделю. Обе атаки при этом осуществлялись с применением фишинговых писем, посланных якобы от имени Министерства энергетики Республики Казахстан и содержащих схожие вложения.

«Мы надеемся, что обнаруженный факт использования группировками Sofacy и GreyEnergy одной и той же инфраструктуры, равно как и другие улики, свидетельствующие в пользу предположения о возможной связи между ними, помогут исследователям безопасности в обнаружении атак и расследовании инцидентов. Чем больше мы знаем об атакующих, тем лучше мы можем защищать наших клиентов», – отметила Мария Гарнаева, старший антивирусный эксперт Kaspersky Lab ICS CERT.

Для защиты организаций от целевых атак «Лаборатория Касперского» рекомендует:

·         проводить тренинги по кибербезопасности для сотрудников, учить их правилам кибергигиены – защите от случайных заражений, фишинговых атак и атак, использующих методы социальной инженерии, например, с помощью платформы  Kaspersky Security Awareness;

·         наладить процесс установки обновления информационной безопасности ОС, прикладного ПО;

·         следить за правильностью настройки и актуальностью антивирусных баз и прочих решений по защите IT-систем и технологических систем организации;

·         наладить в организации процесс обнаружения компьютерных атак и реагирования на компьютерные инциденты; в создании своей собственной профессиональной команды вам поможет программа тренингов Kaspersky Security Trainings, а со сложными инцидентами будет проще разобраться при помощи Kaspersky Incident Response;

·         отслеживать новые методы и технологии, используемые злоумышленниками для проведения атак, с помощью платформы информирования о киберугрозах, такой как Kaspersky Threat Intelligence;

·         использовать продукты и услуги, специально разработанные для защиты от целевых атак, например, те, что входят в состав Kaspersky Threat Management and Defense.

С полной версией отчёта можно ознакомиться по ссылке https://ics-cert.kaspersky.ru/reports/2019/01/24/greyenergys-overlap-with-zebrocy/.

11 февраля, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных