Odborníci společnosti Kaspersky Lab našli pojítko mezi kybernetickými útoky dvou nechvalně známých kyberzločinných skupin – GreyEnergy (která je nejspíš nástupcem skupiny BlackEnergy) a Sofacy, která se zaměřuje na kyberšpionáž. Obě použily stejné servery ve stejnou dobu, každá ale s rozdílným účelem.
Hackerské skupiny BlackEnergy a Sofacy patří mezi nejobávanější aktéry na moderní globální kyberzločinné scéně. V minulosti se podílely na aktivitách, které měly dalekosáhlé následky na infrastrukturu některých států. Skupina BlackEnergy stála za jedním z nejznámějších kybernetických útoků v historii – své útoky zaměřila v roce 2015 na ukrajinské elektrárny a způsobila tak výpadky elektrické energie. Druhá skupina Sofacy způsobila velký zmatek svými útoky na řadu amerických a evropských vládních organizací, kterým se nevyhnuly ani národní bezpečnostní a výzvědné agentury. Již dříve kolovaly v odborných kyberbezpečnostních kruzích domněnky, že mezi oběma skupinami existuje nějaká vazba, ale doposud pro to neexistoval žádný důkaz. Nyní se ukázalo, že GreyEnergy (nástupce skupiny BlackEnergy) využívá k útokům na převážně ukrajinské průmyslové společnosti a součásti kritické infrastruktury malware, který je svou stavbou velmi podobný nástrojům skupiny Sofacy.
Speciální tým ICS CERT společnosti Kaspersky Lab, který se zaměřuje na výzkum a eliminaci hrozeb zacílených na průmyslové systémy, našel dva servery hostované na Ukrajině a ve Švédsku, které obě skupiny využily ve stejnou chvíli v červnu 2018. Skupina GreyEnergy využila servery ve své phishingové kampani k uložení zhoubného souboru. Ten si uživatelé stáhli poté, co otevřeli textový dokument, který byl v příloze phishingového e-mailu. V tu samou chvíli využila Sofacy tento server jako C&C centrum (command and control) pro svůj vlastní malware. Protože obě skupiny využily servery jen poměrně krátce, dá se z této náhody usuzovat, že sdílejí infrastrukturu. To potvrzuje také fakt, že obě skupiny cílily v rozmezí jednoho týdne na stejnou firmu spear-phishingovými e-maily. Navíc také použily podobný phishingový dokument předstírající e-maily od Ministerstva energetiky Kazachstánu.
"Zjištění o sdílené infrastruktuře skupinami BlackEnergy a Sofacy poukazuje na větší propojení mezi oběma aktéry. Poskytuje nám to hlubší vhled do aktivit těchto ruskojazyčných skupin, jaké jsou jejich schopnosti, potenciální cíle a oběti," říká Maria Garnaeva, bezpečnostní odbornice ze společnosti Kaspersky Lab.
Aby se firmy nestaly obětí podobných útoků, doporučují odborníci Kaspersky Lab následující opatření: