Početna Trends Najozloglašeniji hakeri – MADE IN RUSSIA

Najozloglašeniji hakeri – MADE IN RUSSIA

Stručnjaci kompanije Kaspersky Lab identifikovali su preklapanje sajber napada između dva ozloglašena aktera pretnji, grupe GreyEnergy - za koju se veruje da je naslednik grupe BlackEnergy - i grupe koja se bavi sajber-špijunažom, Sofacy. Oba aktera koristila su iste servere u isto vreme, ali sa drugačijom svrhom.

26

Hakerske grupe BlackEnergy i Sofacy smatraju se za dva najveća aktera pretnji u savremenom sajber okruženju. U prošlosti, njihove aktivnosti su često dovodile do razarajućih posledica na nacionalnom nivou. Grupa BlackEnergy je svojim akcijama protiv ukrajinskih energetskih postroja 2015. godine izvela jedan od najozloglašenijih sajber napada ikada, koji je doveo do prekida napajanja. U međuvremenu, grupa Sofacy izazvala je pometnju višestrukim napadima na američke i evropske vladine organizacije i nacionalne bezbednosne i obaveštajne agencije.

Prethodno se sumnjalo da postoji veza između ove dve grupe, ali to nije bilo dokazano sve do sada, zahvaljujuči otkriću da GreyEnergy – naslednik grupe BlackEnergy – koristi zlonamerni softver za napade na industrijske mete i kritične infrastrukturne, uglavnom u Ukrajini. Grupa je takođe pokazala i izuzetne arhitektonske sličnosti sa akterom pretnji BlackEnergy.

ICS CERT odsek kompanije Kaspersky Lab, koji je odgovoran za istraživanje i eliminaciju pretnji industrijskih sistema, pronašao je dva servera hostovana u Ukrajini i Švedskoj, koji su korišćeni od strane oba aktera u isto vreme u junu 2018. godine. Grupa GreyEnergy koristila je servere u svojoj fišing kampanji za distribuciju zlonamernog fajla. Korisnici su preuzimali ovu datoteku prilikom otvaranja tekstualnog dokumenta koji je bio priložen u fišing i-mejlu.

U isto vreme, grupa Sofacy je koristila server kao komandni i kontrolni centar za sopstvene malvare. S obzirom na to da su obe grupe koristile servere u relativno kratkom vremenskom periodu, takva slučajnost ukazuje na zajedničku infrastrukturu. Ovo je potvrđeno činjenicom da su oba aktera ciljala istu kompaniju fišing i-mejlovima, u razmaku od nedelju dana. Štaviše, obe grupe su koristile slične fišing dokumente koji su izgledali kao i-mejlovi Ministarstva energetike Republike Kazahstan.