Russischtalige hackergroepen GreyEnergy en Sofacy maken gebruik van dezelfde infrastructuur
Kaspersky Lab experts hebben bewezen dat cyberaanvallen van twee beruchte Russischtalige hackersgroepen een beroep doen op dezelfde serversystemen. Het gaat om cyberspionagegroepen GreyEnergy en Sofacy. GreyEnergy is de veronderstelde opvolger van BlackEnergy die verantwoordelijk was voor de inbraak op de Oekraϊense energiefaciliteiten in 2015. Er waren al langer vermoedens van banden tussen deze twee groepen. Echter, nu is daar bewijs voor geleverd. Ondanks dat de hackersgroepen op hetzelfde moment dezelfde servers hebben gebruikt, lijken hun motieven wel van elkaar af te wijken.
De ICS CERT-afdeling van Kaspersky Lab, belast met onderzoek naar en eliminatie van industriële systeemdreigingen, heeft twee servers in Oekraïne en Zweden opgespoord die GreyEnergy en Sofacy in juni 2018 gelijktijdig hebben ingezet. De GreyEnergy-groep heeft bij een phishing-campagne de servers gebruikt voor de opslag van een kwaadaardig bestand. Gedupeerde gebruikers hebben dit bestand gedownload op het moment dat ze een tekstdocument openden dat als bijlage met een phishing-e-mail was meegestuurd. Tegelijkertijd gebruikte Sofacy de server als commando- en controlecentrum voor hun eigen malware. Omdat beide groepen de servers relatief korte tijd hebben gebruikt, is het vermoeden zeer sterk dat er sprake is van een gedeelde infrastructuur. Dit wordt nog eens onderstreept door het feit dat beide actoren binnen een week hetzelfde bedrijf met spear phishing-e-mails hebben bestookt. Bovendien hebben beide groepen phishing-documenten gebruikt die waren vermomd als e-mails van het Ministerie van Energie van Kazachstan.
De hackergroepen BlackEnergy en Sofacy worden gerekend tot de belangrijkste actoren in het hedendaagse cyberdreigingslandschap. In het verleden hebben hun activiteiten verwoestende gevolgen gehad. Zo is BlackEnergy verantwoordelijk voor een van de beruchtste cyberaanvallen in de geschiedenis: de acties tegen de Oekraïense energiefaciliteiten in 2015 hebben destijds geleid tot massale stroomuitval. De Sofacy-groep voerde in diezelfde periode op grote schaal aanvallen uit op Amerikaanse en Europese overheidsorganisaties en nationale veiligheids- en inlichtingendiensten. Er waren al langer vermoedens dat er een verband tussen de twee groepen bestond, maar dat kon nooit worden bewezen. Nu is gebleken dat GreyEnergy - de opvolger van BlackEnergy - industriële en essentiële infrastructurele doelen, voornamelijk in Oekraïne, heeft aangevallen met malware die sterke architecturale overeenkomsten heeft met BlackEnergy.
"Het feit dat GreyEnergy en Sofacy dezelfde infrastructuur delen, bevestigt voor ons hun samenwerking,” zegt Maria Garnaeva, beveiligingsonderzoeker bij Kaspersky Lab ICS CERT. “Wij hebben inzicht gekregen in hun gezamenlijke capaciteiten, bedoelingen en mogelijke doelwitten. Hoe meer we weten over hun gedrag, hoe beter we onze klanten kunnen beschermen tegen hun geavanceerde aanvallen.”