卡巴斯基实验室专家发现两个臭名昭著的威胁组织的网络攻击出现了重叠,其中一个是被认为是BlackEnergy继任者的GreyEnergy,另一个是Sofacy网络组织。这两个网络威胁组织同时使用相同的服务器,但目的各不相同。
BlackEnergy 和 Sofacy被认为是当今网络威胁领域两个主要的攻击组织。过去,他们的活动经常导致级别的灾难性后果。BlackEnergy在2015年对乌克兰电力设施的攻击导致了大面积停电,是历史上臭名昭著的网络攻击之一。另一方面,Sofacy集团对美国和欧洲政府组织以及安全和情报机构的多次攻击造成了严重破坏。 之前一直怀疑这两个组织之间存在关联,但直到现在才被证实。BlackEnergy的继任者GreyEnergy被发现使用恶意软件对主要位于乌克兰的工业和关键基础设施进行攻击,而且其使用的恶意软件在架构上与BlackEnergy有很多相似之处。
卡巴斯基实验室的工业控制系统网络安全应急响应小组(ICS CERT)负责工业系统威胁的研究和清除,该小组发现两台位于乌克兰和瑞典的服务器同时与2018年6月被上述两个威胁组织所使用。GreyEnergy组织使用这些服务器来存储钓鱼攻击活动中所使用的一个恶意文件。当用户打开钓鱼邮件中附带的文本文档时,该文件会被下载到用户计算机。与此同时,Sofacy攻击组织使用这些服务器充当自己恶意软件的命令和控制中心。由于两个组织使用服务器的时间相对都较短,因此这种巧合表明共享基础设施。这一设想得到了证实,因为这两个威胁组织在一周后都对同一家公司进行鱼叉式钓鱼攻击。不仅如此,这两个组织使用了相似的钓鱼文档,都是假冒哈萨克斯坦共和国能源部发送的邮件。
两个威胁组织共用的基础设施被发现,表明这两个组织不仅在说俄语上一致,还会相互合作。这一发现还提供了一个思路,即他们之间的联合可能会在攻击目标和前景方面做出更大发展。这些发现为对GreyEnergy和Sofacy的公共知识增添了另一个重要的篇章。业内对他们的战略、技巧和流程了解得越多,安全专家可以更好地保护客户抵御复杂攻击,“卡巴斯基实验室ICS CERT安全研究员Maria Garnaeva说。
要保护企业不受这类威胁组织的攻击,卡巴斯基实验室建议客户采取以下措施:
· 为员工提供专门的网络安全培训,教育他们在打开链接以及邮件时一定要仔细检测链接地址。
· 引入安全意识计划,包括通过重复模拟攻击等游戏化培训进行技能评估和强化
· 实现作为IT一部分的操作系统、应用软件和安全解决方案以及企业工业网络的自动化更新。
部署专门的保护解决方案,该解决方案应当具备基于行为的反钓鱼技术以及反针对性攻击技术和威胁情报,例如卡巴斯基威胁管理和防御解决方案。该解决方案能够通过分析网络异常,发现和拦截针对性攻击,让网络安全团队能够对网络完全可见,实现响应自动化。
Read thei full version of the Kaspersky Lab ICS CERT report here.
要阅读卡巴斯基实验室ICS CERT的完整版报告,请点击这里。