Обнаружена связь между группировками GreyEnergy и Zebrocy
Обе группировки атаковали одну и ту же компанию в Казахстане с разницей в неделю.
Специалисты «Лаборатории Касперского» обнаружили связь между группировками GreyEnergy и Zebrocy. Русскоязычная группировка GreyEnergy является преемником BlackEnergy (также известна как Sandworm). Группировка активна по меньшей мере 3 года. GreyEnergy неоднократно проводила кампании по разведке и кибершпионажу, направленные на организации в энергетической и транспортной сфере, в основном в Польше и Украине.
GreyEnergy использует модульную вредоносную программу с широким спектром функций, в том числе возможностью кражи данных. Ни один из модулей вредоносного ПО не предназначен специально для атак на промышленные системы, однако мишенями группировки неоднократно становились промышленные рабочие станции и SCADA-системы.
Zebrocy – троян, используемый предположительно русскоязычной группировкой Sofacy (она же Fancy Bear, Sednit, APT28, Tsar Team, Pawn Storm и Strontium). С 2017 года Zebrocy применяется в атаках на организации в странах Ближнего Востока, Азии и Европы.
По данным специалистов ЛК, в ходе одной из фишинговых кампаний участники GreyEnergy использовали два сервера в Швеции и Украине, с которых при открытии прикрепленного к письму документа загружались вредоносные файлы. В то же время группировка Zebrocy использовала те же серверы в качестве центров управления своим вредоносным ПО.
Предположение о связях GreyEnergy и Sofacy подтверждается тем фактом, что обе группировки атаковали одну и ту же компанию в Казахстане с разницей в неделю. В ходе обеих атак злоумышленники рассылали фишинговые письма якобы от имени Министерства энергетики Республики Казахстан со схожими вложениями. «Использование обеими группировками скомпрометированной инфракструктуры говорит о том, что злоумышленники не только говорят на русском языке, но и сотрудничают друг с другом», — отметила аналитик «Лаборатории Касперского» Мария Гарнаева.