卡巴斯基實(shí)驗(yàn)室專家發(fā)現(xiàn)兩個(gè)臭名昭著的威脅組織的網(wǎng)絡(luò)攻擊出現(xiàn)了重疊，其中一個(gè)是被認(rèn)為是BlackEnergy繼任者的GreyEnergy，另一個(gè)是Sofacy網(wǎng)絡(luò)組織。這兩個(gè)網(wǎng)絡(luò)威脅組織同時(shí)使用相同的服務(wù)器，但目的各不相同。

BlackEnergy 和 Sofacy被認(rèn)為是當(dāng)今網(wǎng)絡(luò)威脅領(lǐng)域兩個(gè)主要的攻擊組織。過去，他們的活動(dòng)經(jīng)常導(dǎo)致級別的災(zāi)難性后果。BlackEnergy在2015年對烏克蘭電力設(shè)施的攻擊導(dǎo)致了大面積停電，是歷史上臭名昭著的網(wǎng)絡(luò)攻擊之一。另一方面，Sofacy集團(tuán)對美國和歐洲政府組織以及安全和情報(bào)機(jī)構(gòu)的多次攻擊造成了嚴(yán)重破壞。 之前一直懷疑這兩個(gè)組織之間存在關(guān)聯(lián)，但直到現(xiàn)在才被證實(shí)。BlackEnergy的繼任者GreyEnergy被發(fā)現(xiàn)使用惡意軟件對主要位于烏克蘭的工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行攻擊，而且其使用的惡意軟件在架構(gòu)上與BlackEnergy有很多相似之處。

卡巴斯基實(shí)驗(yàn)室的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組（ICS CERT）負(fù)責(zé)工業(yè)系統(tǒng)威脅的研究和清除，該小組發(fā)現(xiàn)兩臺(tái)位于烏克蘭和瑞典的服務(wù)器同時(shí)與2018年6月被上述兩個(gè)威脅組織所使用。GreyEnergy組織使用這些服務(wù)器來存儲(chǔ)釣魚攻擊活動(dòng)中所使用的一個(gè)惡意文件。當(dāng)用戶打開釣魚郵件中附帶的文本文檔時(shí)，該文件會(huì)被下載到用戶計(jì)算機(jī)。與此同時(shí)，Sofacy攻擊組織使用這些服務(wù)器充當(dāng)自己惡意軟件的命令和控制中心。由于兩個(gè)組織使用服務(wù)器的時(shí)間相對都較短，因此這種巧合表明共享基礎(chǔ)設(shè)施。這一設(shè)想得到了證實(shí)，因?yàn)檫@兩個(gè)威脅組織在一周后都對同一家公司進(jìn)行魚叉式釣魚攻擊。不僅如此，這兩個(gè)組織使用了相似的釣魚文檔，都是假冒哈薩克斯坦共和國能源部發(fā)送的郵件。

兩個(gè)威脅組織共用的基礎(chǔ)設(shè)施被發(fā)現(xiàn)，表明這兩個(gè)組織不僅在說俄語上一致，還會(huì)相互合作。這一發(fā)現(xiàn)還提供了一個(gè)思路，即他們之間的聯(lián)合可能會(huì)在攻擊目標(biāo)和前景方面做出更大發(fā)展。這些發(fā)現(xiàn)為對GreyEnergy和Sofacy的公共知識(shí)增添了另一個(gè)重要的篇章。業(yè)內(nèi)對他們的戰(zhàn)略、技巧和流程了解得越多，安全專家可以更好地保護(hù)客戶抵御復(fù)雜攻擊，“卡巴斯基實(shí)驗(yàn)室ICS CERT安全研究員Maria Garnaeva說。

要保護(hù)企業(yè)不受這類威脅組織的攻擊，卡巴斯基實(shí)驗(yàn)室建議客戶采取以下措施：

· 為員工提供專門的網(wǎng)絡(luò)安全培訓(xùn)，教育他們在打開鏈接以及郵件時(shí)一定要仔細(xì)檢測鏈接地址。

· 引入安全意識(shí)計(jì)劃，包括通過重復(fù)模擬攻擊等游戲化培訓(xùn)進(jìn)行技能評估和強(qiáng)化

· 實(shí)現(xiàn)作為IT一部分的操作系統(tǒng)、應(yīng)用軟件和安全解決方案以及企業(yè)工業(yè)網(wǎng)絡(luò)的自動(dòng)化更新。

部署專門的保護(hù)解決方案，該解決方案應(yīng)當(dāng)具備基于行為的反釣魚技術(shù)以及反針對性攻擊技術(shù)和威脅情報(bào)，例如卡巴斯基威脅管理和防御解決方案。該解決方案能夠通過分析網(wǎng)絡(luò)異常，發(fā)現(xiàn)和攔截針對性攻擊，讓網(wǎng)絡(luò)安全團(tuán)隊(duì)能夠?qū)W(wǎng)絡(luò)完全可見，實(shí)現(xiàn)響應(yīng)自動(dòng)化。

Read thei full version of the Kaspersky Lab ICS CERT report here.

要閱讀卡巴斯基實(shí)驗(yàn)室ICS CERT的完整版報(bào)告，請點(diǎn)擊這里。