Un point commun : deux groupes de hackers russophones notoirement connus ont partagé les mêmes infrastructures
Les experts de Kaspersky Lab ont identifié un point commun entre les cyberattaques menées par deux acteurs malveillants tristement célèbres : GreyEnergy – qui paraît être un successeur de BlackEnergy – et le groupe de cyberespionnage Sofacy. Tous deux ont en effet utilisé les mêmes serveurs en même temps, quoiqu’avec des objectifs différents.
Les groupes de hackers BlackEnergy et Sofacy sont considérés comme deux des acteurs majeurs dans le paysage moderne des cybermenaces. Par le passé, leurs activités ont souvent eu des conséquences dévastatrices. BlackEnergy a ainsi perpétré l’une de ses cyberattaques les plus médiatisées contre des infrastructures énergétiques ukrainiennes en 2015, entraînant des coupures d’électricité dans tout le pays. Pour sa part, Sofacy a semé le chaos avec diverses attaques contre des administrations ainsi que des agences de sécurité nationale et de renseignement aux Etats-Unis et en Europe. L’existence d’un lien entre les deux groupes avait déjà été soupçonnée mais sans avoir pu être prouvée jusqu’à présent, après la découverte de l’utilisation par GreyEnergy d’un malware prenant pour cibles des infrastructures industrielles et critiques, principalement en Ukraine, et présentant de fortes similitudes architecturales avec BlackEnergy.
Des similitudes entre GreyEnergy et Sofacy qui confirment les soupcons de liens entre les deux groupes
Le département ICS CERT de Kaspersky Lab, chargé de rechercher et d’éliminer les menaces visant les systèmes industriels, a découvert deux serveurs hébergés en Ukraine et en Suède, qui ont été employés simultanément par les deux acteurs malveillants en juin 2018. GreyEnergy a utilisé ces serveurs dans le cadre de sa campagne de phishing pour y stocker un fichier malveillant. Ce fichier a été téléchargé par des utilisateurs ayant ouvert un document texte joint à un e-mail de phishing. Dans le même temps, Sofacy a fait appel au serveur comme centre de commande et de contrôle pour son propre malware. Les deux groupes ayant utilisé les serveurs pendant un laps de temps relativement court, une telle coïncidence laisse penser à un partage d’infrastructures. Cela a été confirmé par le fait que les deux acteurs malveillants ont été observés ciblant la même société, à une semaine d’intervalle, avec des messages de spearphishing. De plus, les deux groupes ont employé des documents de phishing similaires, prétendant provenir du Ministère de l’Energie de la République du Kazakhstan.
« Les infrastructures infectées dont nous avons découvert le partage par ces deux acteurs malveillants pourraient indiquer que ceux-ci ont non seulement la langue russe en commun mais aussi qu’ils coopèrent l’un avec l’autre. Cela donne également une idée de leurs capacités conjointes et une meilleure vision de leurs objectifs plausibles et cibles potentielles. Ces découvertes portent un nouvel élément important à la connaissance du public au sujet de GreyEnergy et Sofacy. Plus les experts en sécurité en sauront sur les tactiques, techniques et procédures de ces groupes, mieux ils seront à même d’accomplir leur travail consistant à protéger leurs clients contre des attaques complexes », commente Maria Garnaeva, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.
Pour protéger les entreprises contre les attaques lancées par ces groupes, Kaspersky Lab adresse les recommandations suivantes à ses clients :
- Dispenser aux collaborateurs une formation dédiée à la cybersécurité, et leur apprendre à toujours vérifier l’adresse de l’expéditeur d’un e-mail et les liens qui y figurent avant de cliquer sur quoi ce soit.
- Lancer des initiatives de sensibilisation à la sécurité, notamment des formations ludiques avec évaluation et renforcement des compétences par la répétition d’attaques de phishing simulées.
- Automatiser les mises à jour des systèmes d’exploitation, applications et solutions de sécurité sur les machines faisant partie du réseau informatique et industriel de l’entreprise.
- Installer une solution de protection spécialisée, intégrant des technologies comportementales pour contrer les attaques de phishing ou ciblées ainsi que des outils de veille des menaces, à l’exemple de Kaspersky Threat Management & Defence. Les solutions de ce type sont capables de détecter et d’intercepter les attaques ciblées avancées en analysant les anomalies sur le réseau et en assurant aux équipes de cybersécurité une visibilité totale sur ce dernier et l’automatisation des réponses.
La version complète de l’étude de Kaspersky Lab ICS CERT est disponible ici.
À propos de Kaspersky Lab
Kaspersky Lab est une société de cybersécurité mondiale qui est active sur le marché depuis plus de 20 ans. L’expertise de Kaspersky Lab en matière de « Threat Intelligence » et sécurité informatique vient perpétuellement enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky Lab comprend la protection avancée et complète des terminaux et un certain nombre de solutions et de services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky Lab aident plus de 400 millions d’utilisateurs et 270 000 clients à protéger ce qui compte le plus pour eux.
Pour en savoir plus :www.kaspersky.com/fr/
Pour plus d’informations sur l’actualité virale :http://www.securelist.com
Salle de presse virtuelle Kaspersky Lab :http://newsroom.kaspersky.eu/fr/
Blog français de Kaspersky Lab :http://blog.kaspersky.fr/
Hotwire pour Kaspersky Lab
Marion Delmas / Séverine Randjelovic / Noémie Minster / Aliénor Gamerdinger
01 43 12 55 62 / 57 / 73 / 47
KasperskyFrance@hotwireglobal.com
Un point commun : deux groupes de hackers russophones notoirement connus ont partagé les mêmes infrastructures
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >