25.01.2019  Новости, Безопасность

Эксперты «Лаборатории Касперского» обнаружили, что две известные, предположительно русскоязычные, группы GreyEnergy и Sofacy в июне 2018 года использовали одни и те же серверы на Украине и в Швеции. GreyEnergy считают приемником группы BlackEnergy, печально известной благодаря своим масштабным операциям. В частности, злоумышленники из BlackEnergy атаковали объекты электроэнергетики Украины в декабре 2015 года, отключив около 1% всех энергопотребителей страны. Группировка Sofacy известна своими операциям по кибершпионажу, нацеленными в том числе на американские и европейские правительственные организации. Специалисты центра Kaspersky Lab ICS CERT установили, что злоумышленники из GreyEnergy в ходе фишинговой кампании использовали два сервера, с которых при открытии документа, прикреплённого к фишинговому письму, загружались вредоносные файлы. Группировка Sofacy использовала эти же серверы в качестве центров управления своим вредоносным ПО. Эти серверы использовались обеими группировками относительно недолго и в одно и то же время. Вероятно, GreyEnergy и Sofacy делились друг с другом своей инфраструктурой. Предположение о связях GreyEnergy и Sofacy подтверждается и тем, что в числе мишеней обеих группировок была одна и та же компания в Казахстане, атакованная ими с разницей в неделю. Обе атаки при этом осуществлялись с применением фишинговых писем, посланных якобы от имени Министерства энергетики Республики Казахстан и содержащих схожие вложения. «Мы надеемся, что обнаруженный ... читать далее.