Blog

Dois conhecidos grupos especializados em ciberameaças, GreyEnergy (que acredita-se ser o sucessor do BlackEnergy) e o grupo de espionagem cibernética Sofacy, estão compartilhando os mesmos servidores com finalidades diferentes, segundo descoberta da Kaspersky Lab.

Segundo a empresa de cibersegurança, tais grupos são considerados os dois principais players no cenário das ciberameaças modernas. No passado, muitas vezes suas atividades tiveram consequências devastadoras. Em 2015, o BlackEnergy produziu um dos ciberataques mais famosos da história contra instalações elétricas ucranianas, que causaram vários apagões elétricos no pais. Ao mesmo tempo, o grupo Sofacy causou grande confusão com vários ataques sobre organizações governamentais, agências de inteligência e de segurança nacional dos EUA e europeias.

"Já se suspeitava haver uma conexão entre os dois grupos, mas isso não tinha sido provado até agora, depois que descobriu-se que o GreyEnergy estava usando malware para atacar alvos industriais e de infraestrutura crítica, principalmente na Ucrânia, e que foram percebidas fortes semelhanças da arquitetura em relação ao BlackEnergy", explicou a companhia em comunicado.

O departamento de segurança industrial (ICS CERT) da Kaspersky Lab, responsável pela pesquisa e eliminação de ameaças nesses sistemas, encontrou dois servidores hospedados na Ucrânia e na Suécia que foram usados simultaneamente pelos dois grupos, em junho de 2018. O GreyEnergy usou esses servidores em uma campanha de phishing para baixar um arquivo malicioso. Esse arquivo era executado pelos usuários que abriam um documento de texto anexado a um e-mail de phishing. Ao mesmo tempo, o Sofacy usou esse mesmo servidor como centro de comando e controle para seu próprio malware. Como os dois grupos usaram os servidores por um tempo relativamente pequeno, essa coincidência sugere uma infraestrutura compartilhada. Isso foi confirmado pelo fato de que os dois grupos estavam visando, há semanas, uma empresa com e-mails de spearphishing. Além disso, os dois grupos usavam documentos de phishing semelhantes disfarçados de e-mails do Ministério de Energia da República do Cazaquistão.

“A infraestrutura comprometida compartilhada por esses dois grupos especializados possivelmente indica que eles não têm apenas o idioma russo em comum, mas também trabalham em cooperação mútua. Isso também dá uma ideia de sua capacidade conjunta e produz um quadro mais claro de suas metas e possíveis alvos. Essas constatações acrescentam outra peça importante para o público sobre o GreyEnergy e o Sofacy. Quanto mais o setor conhece suas táticas, técnicas e procedimentos, melhor os especialistas em segurança podem trabalhar para proteger os clientes de ataques sofisticados”, afirma Maria Garnaeva, pesquisadora de segurança da Kaspersky Lab ICS CERT.