Nuova scoperta di Kaspersky Lab: infrastrutture comuni per due noti gruppi di cybercriminali di lingua russa
(Roma, 24 gennaio 2019) - Gli esperti di Kaspersky Lab hanno rilevato delle somiglianze in alcuni attacchi informatici sferrati da due noti gruppi di autori di cyberminacce: GreyEnergy - che si ritiene essere l'erede del gruppo BlackEnergy - e Sofacy, specializzato in cyberspionaggio. Entrambi i gruppi hanno fatto uso degli stessi server nello stesso periodo, ma con obiettivi diversi. I gruppi di attaccanti BlackEnergy e Sofacy sono considerati due dei maggiori autori di cyberminacce nel panorama odierno. Nel passato, le loro attività hanno spesso portato a conseguenze devastanti a livello nazionale. BlackEnergy è responsabile di uno dei cyberattacchi più noti della storia, con una serie di azioni che hanno preso di mira gli impianti energetici dell'Ucraina nel 2015 e che hanno portato al blackout. Nel frattempo, il gruppo Sofacy ha gettato nel caos diverse organizzazioni governative statunitensi ed europee, insieme ad agenzie di sicurezza e intelligence nazionali, con una serie di attacchi multipli. Una connessione fra i due gruppi si era già sospettata, ma questo dubbio non era stato confermato, almeno fino ad ora. È stato rilevato l'utilizzo di malware per colpire infrastrutture industriali e critiche, soprattutto in Ucraina, da parte di GreyEnergy, l'erede di BlackEnergy; questa azione ha forti somiglianze dal punto di vista strategico con quanto fatto proprio da BlackEnergy. Il dipartimento ICS CERT di Kaspersky Lab, esperto nella ricerca e nell'eliminazione delle cyberminacce rivolte ai sistemi industriali, ha scoperto due server in Ucraina e in Svezia, utilizzati da entrambi i gruppi di cybercriminali nello stesso periodo (giugno 2018). Il gruppo GreyEnergy ha usato questi server in una campagna di phishing per distribuire un file malevolo. Il file è stato scaricato dagli utenti nel momento in cui hanno aperto un documento di testo allegato a una email di phishing. Entrambi i gruppi hanno utilizzati questi stessi server per un arco di tempo relativamente breve; si tratta di una coincidenza che suggerisce l'esistenza di infrastrutture comuni a entrambi. Questa condivisione è confermata dal fatto che, secondo i rilevamenti, entrambi i gruppi di cybercriminali hanno preso di mira la stessa azienda a una settimana di distanza l'uno dall'altro con una serie di email di spear phishing. Inoltre, entrambi i gruppi hanno utilizzato documenti molto simili per queste campagne: finte email da parte del Ministero dell'Energia della Repubblica del Kazakistan. “L'infrastruttura compromessa, che si è scoperto essere comune a questi due gruppi di cybercriminali, fa supporre che i due non condividano solo l'uso della lingua russa, ma che collaborino anche fra di loro. Questo dà anche un'idea di quelle che potrebbero essere le loro abilità congiunte e tratteggia un quadro più chiaro di quelli che potrebbero essere i loro possibili scopi e i potenziali obiettivi. Queste conclusioni aggiungono un altro importante tassello nel quadro delle conoscenze che si hanno già su GreyEnergy e Sofacy. Se il settore acquisisce maggiori conoscenze in merito alle loro tattiche, tecniche e procedure, gli esperti in cybersicurezza potranno fare il loro lavoro sempre meglio, così da proteggere i clienti dai tanti attacchi sofisticati”, ha commentato Maria Garnaeva, Security Researcher di Kaspersky Lab ICS CERT. Per proteggere le aziende dagli attacchi di gruppi di questo tipo, Kasperly Lab suggerisce loro di: • Fornire ai dipendenti una formazione dedicata in cybersecurity, invitandoli a controllare sempre gli indirizzi dei link e i mittenti delle email prima di cliccare su qualsiasi cosa. • Introdurre iniziative di security awareness, inclusa la formazione attraverso esperienze di gaming, con valutazione delle abilità e miglioramento delle proprie conoscenze attraverso la ripetizione di attacchi di phishing simulati. • Automatizzare i sistemi operativi, il software applicativo e gli aggiornamenti delle soluzioni di sicurezza sui sistemi che fanno parte della rete IT e della rete industriale delle aziende. • Implementare soluzioni di protezione dedicata, rese più efficaci grazie a tecnologie “behavioural-based” e anti-phishing, progettate per rispondere agli attacchi mirati e dotate di intelligence delle minacce, come la soluzione Kaspersky Threat Management and Defense. Queste soluzioni sono in grado di individuare e respingere gli attacchi mirati di tipo avanzato, analizzando le anomalie della rete e fornendo ai team di cybersecurity una visibilità totale e una capacità “automatic response”. Per maggiori informazioni è disponibile una versione integrale del report del Kaspersky Lab ICS CERT dedicato alle scoperte sui gruppi GreyEnergy e Sofacy sul sito dell'azienda. Informazioni su Kaspersky LabKaspersky Lab è un'azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 21 anni. La profonda intelligence sulle minacce e l'expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell'azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it Seguici su: https://twitter.com/KasperskyLabIT http://www.facebook.com/kasperskylabitalia https://www.linkedin.com/kasperskylabitalia https://t.me/KasperskyLabIT