I Kaspersky Lab rilevano similarità in alcuni attacchi informatici perpetrati da due noti gruppi di autori di cyberminacce: GreyEnergy e Sofacy. Nel passato, le loro attività hanno spesso portato a conseguenze devastanti a livello nazionale. BlackEnergy è responsabile di uno dei cyberattacchi più noti della storia, con una serie di azioni che hanno preso di mira gli impianti energetici dell’Ucraina nel 2015 e che hanno portato al blackout. Nel frattempo, il gruppo Sofacy ha gettato nel caos diverse organizzazioni governative statunitensi ed europee, insieme ad agenzie di sicurezza e intelligence nazionali, con una serie di attacchi multipli. Una connessione fra i due gruppi si era già sospettata in passato, ma questo dubbio non era stato confermato, almeno fino ad ora. È stato rilevato l’utilizzo di malware per colpire infrastrutture industriali e critiche, soprattutto in Ucraina, da parte di GreyEnergy, l’erede di BlackEnergy; questa azione ha forti somiglianze dal punto di vista strategico con quanto fatto proprio da BlackEnergy.
Il dipartimento ICS CERT di Kaspersky Lab, esperto nella ricerca e nell’eliminazione delle cyberminacce rivolte ai sistemi industriali, ha scoperto due server in Ucraina e in Svezia, utilizzati da entrambi i gruppi di cybercriminali nello stesso arco temporale (giugno 2018). Il gruppo GreyEnergy ha usato questi server in una campagna di phishing per distribuire un file malevolo. Il file è stato scaricato dagli utenti nel momento in cui hanno aperto un documento di testo allegato a una e-mail di phishing. Entrambi i gruppi hanno utilizzato questi stessi server per un arco di tempo relativamente breve; si tratta di una coincidenza che suggerisce l’esistenza di infrastrutture comuni a entrambi. Questa condivisione è confermata dal fatto che, secondo i rilevamenti, entrambi i gruppi di cybercriminali hanno preso di mira la stessa azienda a una settimana di distanza l’uno dall’altro con una serie di e-mail di spear phishing. Inoltre, entrambi i gruppi hanno utilizzato documenti molto simili per queste campagne: finte e-mail da parte del Ministero dell’Energia della Repubblica del Kazakistan.
Maria Garnaeva, Security Researcher di Kaspersky Lab ICS CERT L’infrastruttura compromessa, che si è scoperto essere comune a questi due gruppi di cybercriminali, fa supporre che i due non condividano solo l’uso della lingua russa, ma che collaborino anche fra di loro. Questo dà anche un’idea di quelle che potrebbero essere le loro abilità congiunte e tratteggia un quadro più chiaro di quelli che potrebbero essere i loro possibili scopi e i potenziali obiettivi. Queste conclusioni aggiungono un altro importante tassello nel quadro delle conoscenze che si hanno già su GreyEnergy e Sofacy. Se il settore acquisisce maggiori conoscenze in merito alle loro tattiche, tecniche e procedure, gli esperti in cybersicurezza potranno fare il loro lavoro sempre meglio, così da proteggere i clienti dai tanti attacchi sofisticati.
Per proteggere le aziende dagli attacchi di gruppi di questo tipo, Kaspersky Lab suggerisce loro di: • Fornire ai dipendenti una formazione dedicata in cybersecurity, invitandoli a controllare sempre gli indirizzi dei link e i mittenti delle e-mail prima di cliccare su qualsiasi cosa. • Introdurre iniziative di security awareness, inclusa la formazione attraverso esperienze di gaming, con valutazione delle abilità e miglioramento delle proprie conoscenze attraverso la ripetizione di attacchi di phishing simulati. • Automatizzare i sistemi operativi, il software applicativo e gli aggiornamenti delle soluzioni di sicurezza sui sistemi che fanno parte della rete IT e della rete industriale delle aziende. • Implementare soluzioni di protezione dedicata, rese più efficaci grazie a tecnologie “behavioural-based” e anti-phishing, progettate per rispondere agli attacchi mirati e dotate di intelligence delle minacce, come la soluzione Kaspersky Threat Management and Defense. Queste soluzioni sono in grado di individuare e respingere gli attacchi mirati di tipo avanzato, analizzando le anomalie della rete e fornendo ai team di cybersecurity una visibilità totale e una capacità “automatic response”.
