BlackEnergy ve Sofacy siber suçlu grupları modern tehdit alanının önde gelen aktörleri arasında kabul ediliyor. Geçmişte bu grupların faaliyetleri ulusal düzeyde yıkıcı sonuçlara neden olmuştu. BlackEnergy, tarihin en kötü şöhretli siber saldırılarından birini gerçekleştirdi. 2015’te Ukrayna’daki enerji tesislerine yönelik saldırı ülkede güç kesintilerine yol açtı. Öte yandan, Sofacy grubu ise ABD ve Avrupa devlet kurumlarına, ulusal güvenlik ve istihbarat ajanslarına yaptığı bir dizi saldırıyla panik yaratmıştı. İki grup arasında bir bağlantı olduğundan şüphelenilse de şimdiye kadar bunu kanıtlamak mümkün olmamıştı. Çoğu Ukrayna’da bulunan endüstriyel hedeflere ve kritik altyapılara zararlı yazılım kullanarak saldırı düzenleyen GreyEnergy, çok güçlü mimari benzerlikler gösterdiği BlackEnergy grubunun devamı olarak nitelendiriliyor.
Endüstriyel sistemlere yönelik tehditleri araştırma ve önlemeyle sorumlu Kaspersky Lab ICS CERT departmanı, Ukrayna ve İsveç’te bulunan iki sunucunun Haziran 2018’de her iki tehdit grubu tarafından kullanıldığını belirledi. GreyEnergy grubu kimlik avı saldırılarında kullandıkları bir zararlı dosyayı bu sunucularda sakladı. Kimlik avı e-postasının ekinde yer alan belgeyi açan kullanıcılar bu zararlı dosyayı indirmiş oluyordu. Aynı dönemde Sofacy grubu da bu sunucuyu kendi zararlı yazılımları için bir komut ve kontrol merkezi olarak kullandı. Her iki grup da sunucuları kısa süre kullandı. Böyle bir tesadüf, bu grupların aynı altyapıyı paylaştıklarını gösteriyor. İki grubun da bir hafta arayla aynı şirkete hedef odaklı kimlik avı saldırısı düzenlemesi de bu durumu kanıtlıyor. Ayrıca, her iki grubun kimlik avı saldırılarında Kazakistan Cumhuriyeti Enerji Bakanlığı tarafından gönderilmiş gibi görünen e-postalar kullanması da grupların birlikte hareket ettiğini gösteren bir diğer kanıt.
Kaspersky Lab ICS CERT Güvenlik Araştırmacısı Maria Garnaeva, “Bu tehdit gruplarının aynı altyapıyı paylaşması bunların tek ortak noktasının Rusça konuşmaları olmadığını, birlikte de çalıştıklarını gösteriyor. Bu durum ayrıca iki grubun birlikte hareket ettiğinde neler yapabilecekleri ve potansiyel hedefleri hakkında da bir fikir veriyor. Elde edilen bulgular GreyEnergy ve Sofacy hakkında bilinenlere önemli bir katkıda bulundu. Bu grupların kullandıkları taktikler, teknikler ve prosedürler hakkında ne kadar çok şey bilinirse güvenlik uzmanları da müşterilerini karmaşık saldırılardan o kadar iyi koruyabilir.” dedi.
Şirketlerin bu tür grupların saldırılarından korunması için Kaspersky Lab müşterilerine şunları tavsiye ediyor:
- Çalışanlarınıza özel siber güvenlik eğitimi verin. Herhangi bir şeye tıklamadan önce bağlantı adresini ve gönderen kişinin e-posta adresini kontrol etmeleri gerektiğini öğretin.
- Beceri değerlendirmesi ve temsili kimlik avı saldırılarıyla desteklenen ve oyuna benzer hale getirilen eğitimlerle güvenlik farkındalığını artırın.
- Kurumun BT ve endüstriyel ağındaki sistemlerin uygulama yazılımları, işletim sistemleri ve güvenlik çözümlerinin güncellemelerini otomatik olarak yapın.
- Davranış tabanlı kimlik avı önleme teknolojilerine, hedefli saldırıları engelleyen teknolojilere ve tehdit istihbaratı hizmetine sahip, Kaspersky Threat Management and Defence gibi özel bir koruma çözümü kullanın. Bu çözümler, ağdaki anormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı görebilmesini ve otomatik tepki vermesini sağlayarak gelişmiş hedefli saldırıları yakalayabiliyor.