Les experts de Kaspersky Lab ont identifié un point commun entre les cyberattaques menées par deux acteurs malveillants tristement célèbres : GreyEnergy – qui paraît être un successeur de BlackEnergy – et le groupe de cyberespionnage Sofacy. Tous deux ont en effet utilisé les mêmes serveurs en même temps, quoiqu’avec des objectifs différents.
Les groupes de hackers BlackEnergy et Sofacy sont considérés comme deux des acteurs majeurs dans le paysage moderne des cybermenaces. Par le passé, leurs activités ont souvent eu des conséquences dévastatrices. BlackEnergy a ainsi perpétré l’une de ses cyberattaques les plus médiatisées contre des infrastructures énergétiques ukrainiennes en 2015, entraînant des coupures d’électricité dans tout le pays. Pour sa part, Sofacy a semé le chaos avec diverses attaques contre des administrations ainsi que des agences de sécurité nationale et de renseignement aux Etats-Unis et en Europe. L’existence d’un lien entre les deux groupes avait déjà été soupçonnée mais sans avoir pu être prouvée jusqu’à présent, après la découverte de l’utilisation par GreyEnergy d’un malware prenant pour cibles des infrastructures industrielles et critiques, principalement en Ukraine, et présentant de fortes similitudes architecturales avec BlackEnergy.
Des similitudes entre GreyEnergy et Sofacy qui confirment les soupcons de liens entre les deux groupes
Le département ICS CERT de Kaspersky Lab, chargé de rechercher et d’éliminer les menaces visant les systèmes industriels, a découvert deux serveurs hébergés en Ukraine et en Suède, qui ont été employés simultanément par les deux acteurs malveillants en juin 2018. GreyEnergy a utilisé ces serveurs dans le cadre de sa campagne de phishing pour y stocker un fichier malveillant. Ce fichier a été téléchargé par des utilisateurs ayant ouvert un document texte joint à un e-mail de phishing. Dans le même temps, Sofacy a fait appel au serveur comme centre de commande et de contrôle pour son propre malware. Les deux groupes ayant utilisé les serveurs pendant un laps de temps relativement court, une telle coïncidence laisse penser à un partage d’infrastructures. Cela a été confirmé par le fait que les deux acteurs malveillants ont été observés ciblant la même société, à une semaine d’intervalle, avec des messages de spearphishing. De plus, les deux groupes ont employé des documents de phishing similaires, prétendant provenir du Ministère de l’Energie de la République du Kazakhstan.
« Les infrastructures infectées dont nous avons découvert le partage par ces deux acteurs malveillants pourraient indiquer que ceux-ci ont non seulement la langue russe en commun mais aussi qu’ils coopèrent l’un avec l’autre. Cela donne également une idée de leurs capacités conjointes et une meilleure vision de leurs objectifs plausibles et cibles potentielles. Ces découvertes portent un nouvel élément important à la connaissance du public au sujet de GreyEnergy et Sofacy. Plus les experts en sécurité en sauront sur les tactiques, techniques et procédures de ces groupes, mieux ils seront à même d’accomplir leur travail consistant à protéger leurs clients contre des attaques complexes », commente Maria Garnaeva, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.
Pour protéger les entreprises contre les attaques lancées par ces groupes, Kaspersky Lab adresse les recommandations suivantes à ses clients :
- Dispenser aux collaborateurs une formation dédiée à la cybersécurité, et leur apprendre à toujours vérifier l’adresse de l’expéditeur d’un e-mail et les liens qui y figurent avant de cliquer sur quoi ce soit.
- Lancer des initiatives de sensibilisation à la sécurité, notamment des formations ludiques avec évaluation et renforcement des compétences par la répétition d’attaques de phishing simulées.
- Automatiser les mises à jour des systèmes d’exploitation, applications et solutions de sécurité sur les machines faisant partie du réseau informatique et industriel de l’entreprise.
- Installer une solution de protection spécialisée, intégrant des technologies comportementales pour contrer les attaques de phishing ou ciblées ainsi que des outils de veille des menaces, à l’exemple de Kaspersky Threat Management & Defence. Les solutions de ce type sont capables de détecter et d’intercepter les attaques ciblées avancées en analysant les anomalies sur le réseau et en assurant aux équipes de cybersécurité une visibilité totale sur ce dernier et l’automatisation des réponses.
La version complète de l’étude de Kaspersky Lab ICS CERT est disponible ici