卡巴斯基實驗室專家發(fā)現(xiàn)兩個臭名昭著的威脅組織的網(wǎng)絡攻擊出現(xiàn)了重疊,其中一個是被認為是BlackEnergy繼任者的GreyEnergy,另一個是Sofacy網(wǎng)絡組織。這兩個網(wǎng)絡威脅組織同時使用相同的服務器,但目的各不相同。
BlackEnergy 和 Sofacy被認為是當今網(wǎng)絡威脅領域兩個主要的攻擊組織。過去,他們的活動經(jīng)常導致級別的災難性后果。BlackEnergy在2015年對烏克蘭電力設施的攻擊導致了大面積停電,是歷史上臭名昭著的網(wǎng)絡攻擊之一。另一方面,Sofacy集團對美國和歐洲政府組織以及安全和情報機構的多次攻擊造成了嚴重破壞。 之前一直懷疑這兩個組織之間存在關聯(lián),但直到現(xiàn)在才被證實。BlackEnergy的繼任者GreyEnergy被發(fā)現(xiàn)使用惡意軟件對主要位于烏克蘭的工業(yè)和關鍵基礎設施進行攻擊,而且其使用的惡意軟件在架構上與BlackEnergy有很多相似之處。
卡巴斯基實驗室的工業(yè)控制系統(tǒng)網(wǎng)絡安全應急響應小組(ICS CERT)負責工業(yè)系統(tǒng)威脅的研究和清除,該小組發(fā)現(xiàn)兩臺位于烏克蘭和瑞典的服務器同時與2018年6月被上述兩個威脅組織所使用。GreyEnergy組織使用這些服務器來存儲釣魚攻擊活動中所使用的一個惡意文件。當用戶打開釣魚郵件中附帶的文本文檔時,該文件會被下載到用戶計算機。與此同時,Sofacy攻擊組織使用這些服務器充當自己惡意軟件的命令和控制中心。由于兩個組織使用服務器的時間相對都較短,因此這種巧合表明共享基礎設施。這一設想得到了證實,因為這兩個威脅組織在一周后都對同一家公司進行魚叉式釣魚攻擊。不僅如此,這兩個組織使用了相似的釣魚文檔,都是假冒哈薩克斯坦共和國能源部發(fā)送的郵件。
兩個威脅組織共用的基礎設施被發(fā)現(xiàn),表明這兩個組織不僅在說俄語上一致,還會相互合作。這一發(fā)現(xiàn)還提供了一個思路,即他們之間的聯(lián)合可能會在攻擊目標和前景方面做出更大發(fā)展。這些發(fā)現(xiàn)為對GreyEnergy和Sofacy的公共知識增添了另一個重要的篇章。業(yè)內(nèi)對他們的戰(zhàn)略、技巧和流程了解得越多,安全專家可以更好地保護客戶抵御復雜攻擊,“卡巴斯基實驗室ICS CERT安全研究員Maria Garnaeva說。
要保護企業(yè)不受這類威脅組織的攻擊,卡巴斯基實驗室建議客戶采取以下措施:
· 為員工提供專門的網(wǎng)絡安全培訓,教育他們在打開鏈接以及郵件時一定要仔細檢測鏈接地址。
· 引入安全意識計劃,包括通過重復模擬攻擊等游戲化培訓進行技能評估和強化
· 實現(xiàn)作為IT一部分的操作系統(tǒng)、應用軟件和安全解決方案以及企業(yè)工業(yè)網(wǎng)絡的自動化更新。
部署專門的保護解決方案,該解決方案應當具備基于行為的反釣魚技術以及反針對性攻擊技術和威脅情報,例如卡巴斯基威脅管理和防御解決方案。該解決方案能夠通過分析網(wǎng)絡異常,發(fā)現(xiàn)和攔截針對性攻擊,讓網(wǎng)絡安全團隊能夠?qū)W(wǎng)絡完全可見,實現(xiàn)響應自動化。
Read thei full version of the Kaspersky Lab ICS CERT report here.
要閱讀卡巴斯基實驗室ICS CERT的完整版報告,請點擊這里。