Kaspersky Lab uzmanları BlackEnergy grubunun devamı olduğu düşünülen GreyEnergy ile Sofacy siber casusluk grubunun birbiriyle kesiştiği bir durum tespit etti. Her iki ünlü grubun da aynı anda aynı sunucuları farklı amaçlarla kullandığı belirlendi.
BlackEnergy ve Sofacy siber suçlu grupları modern tehdit alanının önde gelen aktörleri arasında kabul ediliyor. Geçmişte bu grupların faaliyetleri ulusal düzeyde yıkıcı sonuçlara neden olmuştu.
BlackEnergy, tarihin en kötü şöhretli siber saldırılarından birini gerçekleştirdi. 2015’te Ukrayna’daki enerji tesislerine yönelik saldırı ülkede güç kesintilerine yol açtı. Öte yandan, Sofacy grubu ise ABD ve Avrupa devlet kurumlarına, ulusal güvenlik ve istihbarat ajanslarına yaptığı bir dizi saldırıyla panik yaratmıştı. İki grup arasında bir bağlantı olduğundan şüphelenilse de şimdiye kadar bunu kanıtlamak mümkün olmamıştı. Çoğu Ukrayna’da bulunan endüstriyel hedeflere ve kritik altyapılara zararlı yazılım kullanarak saldırı düzenleyen GreyEnergy, çok güçlü mimari benzerlikler gösterdiği BlackEnergy grubunun devamı olarak nitelendiriliyor.
'TEK ORTAK NOKTALARI RUSÇA KONUŞMALARI DEĞİL'
Endüstriyel sistemlere yönelik tehditleri araştırma ve önlemeyle sorumlu Kaspersky Lab ICS CERT departmanı, Ukrayna ve İsveç’te bulunan iki sunucunun Haziran 2018’de her iki tehdit grubu tarafından kullanıldığını belirledi. GreyEnergy grubu kimlik avı saldırılarında kullandıkları bir zararlı dosyayı bu sunucularda sakladı. Kimlik avı e-postasının ekinde yer alan belgeyi açan kullanıcılar bu zararlı dosyayı indirmiş oluyordu. Aynı dönemde Sofacy grubu da bu sunucuyu kendi zararlı yazılımları için bir komut ve kontrol merkezi olarak kullandı. Her iki grup da sunucuları kısa süre kullandı. Böyle bir tesadüf, bu grupların aynı altyapıyı paylaştıklarını gösteriyor. İki grubun da bir hafta arayla aynı şirkete hedef odaklı kimlik avı saldırısı düzenlemesi de bu durumu kanıtlıyor. Ayrıca, her iki grubun kimlik avı saldırılarında Kazakistan Cumhuriyeti Enerji Bakanlığı tarafından gönderilmiş gibi görünen e-postalar kullanması da grupların birlikte hareket ettiğini gösteren bir diğer kanıt.
Kaspersky Lab ICS CERT Güvenlik Araştırmacısı Maria Garnaeva, “Bu tehdit gruplarının aynı altyapıyı paylaşması bunların tek ortak noktasının Rusça konuşmaları olmadığını, birlikte de çalıştıklarını gösteriyor. Bu durum ayrıca iki grubun birlikte hareket ettiğinde neler yapabilecekleri ve potansiyel hedefleri hakkında da bir fikir veriyor. Elde edilen bulgular GreyEnergy ve Sofacy hakkında bilinenlere önemli bir katkıda bulundu. Bu grupların kullandıkları taktikler, teknikler ve prosedürler hakkında ne kadar çok şey bilinirse güvenlik uzmanları da müşterilerini karmaşık saldırılardan o kadar iyi koruyabilir” dedi.