Die Experten von Kaspersky Lab haben bei den Cyberattacken der Bedrohungsakteure ,Sofacy‘ und ,GreyEngery
Moskau/lngolstadt, 24. Januar 2019
Die Experten von Kaspersky Lab haben bei den Cyberattacken der Bedrohungsakteure ,Sofacy‘ und ,GreyEngery‘ (mutmaßliche Nachfolger-Gruppe von ,BlackEnergy‘)Gemeinsamkeiten festgestellt: Die beiden Cyberspionagegruppen nutzten für ihre Angriffe dieselben Server zur selben Zeit – wenn auch für unterschiedliche Zwecke [1].
Die russischsprachigen Hacker-Gruppen BlackEnergy und Sofacy gelten als Hauptakteure in der derzeitigen Bedrohungslandschaft. Im Jahr 2015 richtete sich BlackEnergy beispielsweise gegen ukrainische Energieeinrichtungen, was zu Stromausfällen geführt hat [2]. In der Zwischenzeit griff Sofacy US-amerikanische und europäische Regierungsorganisationen sowie nationale Sicherheits- und Geheimdienste an [3]. Bereits damals wurde ein Zusammenhang der beiden Gruppen vermutet, der sich nun nachweisen lässt. GreyEnergy, der Nachfolger von BlackEnergy, nutzt Malware vor allem für Angriffe auf industrielle und kritische Infrastrukturziele in der Ukraine und weist zudem einige starke architektonische Ähnlichkeiten mit BlackEnergy auf.
Das Industrial Control Systems Cyber Emergency Response Team (ICS CERT) von Kaspersky Lab, das für die Untersuchung und Beseitigung von Bedrohungen für industrielle Systeme zuständig ist, hat nun zwei Server in der Ukraine und Schweden identifiziert, die im Juni 2018 gleichzeitig von beiden Bedrohungsakteuren verwendet wurden. GreyEnergy nutzte die Server für eine Phishing-Kampagne zum Speichern einer schädlichen Datei, die beim Öffnen eines Text-Dokuments, das in der Phishing-Mail angehängt war, auf den Opfer-Rechner geladen wurde. Gleichzeitig nutzte Sofacy die Server als Command-and-Control-Center für eigene Malware.
Dass beide Gruppen innerhalb einer relativ kurzen Zeitspanne dieselben Server nutzten, nacheinander dasselbe Unternehmen mit Spear-Phishing-Mails angriffen sowie ähnliche Phishing-Dokumente unter dem Deckmantel von E-Mails des Energieministeriums der Republik Kasachstan nutzten, deutet auf eine gemeinsame Infrastruktur hin.
„Die kompromittierte und von diesen beiden Bedrohungsakteuren genutzte Infrastruktur zeigt, dass sie wohl nicht nur die russische Sprache gemeinsam haben, sondern auch miteinander kooperieren“, so Maria Garnaeva, Sicherheitsforscherin bei Kaspersky Lab ICS CERT. „Auch lassen sich das vereinte Potenzial, mögliche Ziele und potentielle Angriffsobjekte erahnen. Unsere Erkenntnisse sind ein weiteres wichtiges Puzzleteil zus GreyEnergy und Sofacy. Je mehr die Industrie über ihre Taktiken, Techniken und Vorgehensweisen weiß, desto besser können IT-Sicherheitsexperten ihre Kunden vor komplexen Angriffen schützen.“
Sicherheitsempfehlungen von Kaspersky Lab
- Unternehmen sollten spezielle Cybersicherheitstrainings für Mitarbeiter durchführen; es sollte immer die Link- und Absender-Adresse überprüft werden, bevor etwas angeklickt oder geöffnet wird.
- Verbesserung des Sicherheitsbewusstseins durch Training mit Kompetenzfestlegung und Wissensfestigung durch wiederholte simulierte Phishing-Attacken;
- Updates von Betriebssystemen und Software sollten automatisiert durchgeführt werden.
- Umfassende Sicherheitslösungen, die Threat Intelligence sowie verhaltensbasierten Technologien gegen Phishing und zielgerichtete Angriffe umfassen wie Kaspersky Threat Management and Defense [4], sind in der Lage, komplexe zielgerichtete Angriffe zu erkennen und zu blockieren, da sie Netzwerkanomalien analysieren und Cybersicherheitsteams vollen Überblick über Netzwerkaktivitäten und automatisierte Reaktionen bieten.
Mehr Erkenntnisse der Untersuchung sind verfügbar unter: https://ics-cert.kaspersky.com/reports/2019/01/24/greyenergys-overlap-with-zebrocy/
[1]https://ics-cert.kaspersky.com/reports/2019/01/24/greyenergys-overlap-with-zebrocy/
[2]https://www.kaspersky.de/resource-center/threats/blackenergy
[3]https://securelist.com/a-slice-of-2017-sofacy-activity/83930/
[4]https://www.kaspersky.de/enterprise-security/threat-management-defense-solution
Nützliche Links:
- Kaspersky-Untersuchung zu Sofacy und GreyEnergy: https://ics-cert.kaspersky.com/reports/2019/01/24/greyenergys-overlap-with-zebrocy/
- Kaspersky Lab ICS CERT: https://ics-cert.kaspersky.com/
- Kaspersky Threat Management and Defense:https://www.kaspersky.de/enterprise-security/threat-management-defense-solution
Über Kaspersky Lab
Kaspersky Lab ist ein global agierendes Cybersicherheitsunternehmen, das seit über 20 Jahren auf dem Markt tätig ist. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky Lab ist Basis für Next Generation Sicherheitslösungen und -Services zum Schutz von Unternehmen, kritischen Infrastrukturen, staatlichen Einrichtungen sowie Privatanwendern weltweit. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung vor komplexen und aufkommenden Cyberbedrohungen. Mehr als 400 Millionen Nutzer und 270.000 Unternehmenskunden werden von den Technologien von Kaspersky Lab geschützt.
Weitere Informationen zu Kaspersky Lab finden Sie unterhttp://www.kaspersky.com/de/.Kurzinformationen erhalten Sie zudem überwww.twitter.com/Kaspersky_DACHundwww.facebook.com/Kaspersky.Lab.DACH.Aktuelles zu Viren, Spyware, Spam sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unterhttps://de.securelist.com/und auf dem Kaspersky-Blog aufhttp://blog.kaspersky.de/abrufbar.
Redaktionskontakt:
Berkeley Kommunikation GmbH Kaspersky Labs GmbH
Florian Schafroth Anne Mickler
florian.schafroth@berkeleypr.com anne.mickler@kaspersky.com
Tel.: +49-89-7472-62-43 Tel.: +49-841-98-189-322
Fax: +49-89-7472-62-17 Despag-Straße 3
Landwehrstraße 61 85055 Ingolstadt
80336 München
© 2019 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial errors or omissions contained herein.
