卡巴斯基實(shí)驗室專(zhuān)家發(fā)現兩個(gè)臭名昭著(zhù)的威脅組織的網(wǎng)絡(luò )攻擊出現了重疊，其中一個(gè)是被認為是BlackEnergy繼任者的GreyEnergy，另一個(gè)是Sofacy網(wǎng)絡(luò )組織。這兩個(gè)網(wǎng)絡(luò )威脅組織同時(shí)使用相同的服務(wù)器，但目的各不相同。

BlackEnergy 和 Sofacy被認為是當今網(wǎng)絡(luò )威脅領(lǐng)域兩個(gè)主要的攻擊組織。過(guò)去，他們的活動(dòng)經(jīng)常導致級別的災難性后果。BlackEnergy在2015年對烏克蘭電力設施的攻擊導致了大面積停電，是歷史上臭名昭著(zhù)的網(wǎng)絡(luò )攻擊之一。另一方面，Sofacy集團對美國和歐洲政府組織以及安全和情報機構的多次攻擊造成了嚴重破壞。 之前一直懷疑這兩個(gè)組織之間存在關(guān)聯(lián)，但直到現在才被證實(shí)。BlackEnergy的繼任者GreyEnergy被發(fā)現使用惡意軟件對主要位于烏克蘭的工業(yè)和關(guān)鍵基礎設施進(jìn)行攻擊，而且其使用的惡意軟件在架構上與BlackEnergy有很多相似之處。

卡巴斯基實(shí)驗室的工業(yè)控制系統網(wǎng)絡(luò )安全應急響應小組（ICS CERT）負責工業(yè)系統威脅的研究和清除，該小組發(fā)現兩臺位于烏克蘭和瑞典的服務(wù)器同時(shí)與2018年6月被上述兩個(gè)威脅組織所使用。GreyEnergy組織使用這些服務(wù)器來(lái)存儲釣魚(yú)攻擊活動(dòng)中所使用的一個(gè)惡意文件。當用戶(hù)打開(kāi)釣魚(yú)郵件中附帶的文本文檔時(shí)，該文件會(huì )被下載到用戶(hù)計算機。與此同時(shí)，Sofacy攻擊組織使用這些服務(wù)器充當自己惡意軟件的命令和控制中心。由于兩個(gè)組織使用服務(wù)器的時(shí)間相對都較短，因此這種巧合表明共享基礎設施。這一設想得到了證實(shí)，因為這兩個(gè)威脅組織在一周后都對同一家公司進(jìn)行魚(yú)叉式釣魚(yú)攻擊。不僅如此，這兩個(gè)組織使用了相似的釣魚(yú)文檔，都是假冒哈薩克斯坦共和國能源部發(fā)送的郵件。

兩個(gè)威脅組織共用的基礎設施被發(fā)現，表明這兩個(gè)組織不僅在說(shuō)俄語(yǔ)上一致，還會(huì )相互合作。這一發(fā)現還提供了一個(gè)思路，即他們之間的聯(lián)合可能會(huì )在攻擊目標和前景方面做出更大發(fā)展。這些發(fā)現為對GreyEnergy和Sofacy的公共知識增添了另一個(gè)重要的篇章。業(yè)內對他們的戰略、技巧和流程了解得越多，安全專(zhuān)家可以更好地保護客戶(hù)抵御復雜攻擊，“卡巴斯基實(shí)驗室ICS CERT安全研究員Maria Garnaeva說(shuō)。

要保護企業(yè)不受這類(lèi)威脅組織的攻擊，卡巴斯基實(shí)驗室建議客戶(hù)采取以下措施：

· 為員工提供專(zhuān)門(mén)的網(wǎng)絡(luò )安全培訓，教育他們在打開(kāi)鏈接以及郵件時(shí)一定要仔細檢測鏈接地址。

· 引入安全意識計劃，包括通過(guò)重復模擬攻擊等游戲化培訓進(jìn)行技能評估和強化

· 實(shí)現作為IT一部分的操作系統、應用軟件和安全解決方案以及企業(yè)工業(yè)網(wǎng)絡(luò )的自動(dòng)化更新。

部署專(zhuān)門(mén)的保護解決方案，該解決方案應當具備基于行為的反釣魚(yú)技術(shù)以及反針對性攻擊技術(shù)和威脅情報，例如卡巴斯基威脅管理和防御解決方案。該解決方案能夠通過(guò)分析網(wǎng)絡(luò )異常，發(fā)現和攔截針對性攻擊，讓網(wǎng)絡(luò )安全團隊能夠對網(wǎng)絡(luò )完全可見(jiàn)，實(shí)現響應自動(dòng)化。

Read thei full version of the Kaspersky Lab ICS CERT report here.

要閱讀卡巴斯基實(shí)驗室ICS CERT的完整版報告，請點(diǎn)擊這里。