Utrecht, le 31 janvier 2019 – Les experts Kaspersky Lab ont prouvé que les cyberattaques de deux groupes de hackers russes tristement célèbres utilisent les mêmes serveurs. Il s’agit des groupes de cyberespionnage GreyEnergy et Sofacy. GreyEnergy est le successeur présumé de BlackEnergy, responsable notamment de cyberattaques contre les infrastructures énergétiques ukrainiennes en 2015. L’existence d’un lien entre ces deux groupes avait déjà été soupçonnée depuis longtemps. Aujourd’hui, la preuve en est faite. En dépit du fait que les deux groupes de hackers ont utilisé les mêmes serveurs au même moment, leurs motivations semblent différentes.

Le département ICS CERT de Kaspersky Lab, chargé de rechercher et d’éliminer les menaces visant les systèmes industriels, a découvert deux serveurs hébergés en Ukraine et en Suède qui ont été employés simultanément par GreyEnergy et Sofacy en juin 2018. Le groupe GreyEnergy a utilisé ces serveurs dans le cadre de sa campagne d’hameçonnage pour y stocker un fichier malveillant. Ce fichier a été téléchargé par des utilisateurs trompés ayant ouvert un document texte annexé en pièce jointe à un e-mail d’hameçonnage. Dans le même temps, Sofacy a fait appel au serveur comme centre de commande et de contrôle pour son propre malware. Comme les deux groupes ont utilisé les serveurs pendant un laps de temps relativement court, il y a fort à parier qu’ils ont partagé leur infrastructure. Ce soupçon de partage a été confirmé par le fait que les deux acteurs malveillants ont été observés à cibler la même société, dans une semaine, avec des messages de harponnage. De plus, les deux groupes ont employé des documents d'hameçonnage similaires, prétendant provenir du Ministère de l’Énergie de la République du Kazakhstan.

Les groupes de hackers BlackEnergy et Sofacy sont considérés comme deux des acteurs majeurs dans le paysage moderne des cybermenaces. Par le passé, leurs activités ont souvent eu des conséquences dévastatrices. BlackEnergy a ainsi perpétré l’une de ses cyberattaques les plus médiatisées contre des infrastructures énergétiques ukrainiennes en 2015, entraînant des coupures d’électricité massives dans l’ensemble du pays. Pour sa part, le groupe Sofacy a semé le chaos avec diverses attaques contre des administrations ainsi que des agences de sécurité nationale et de renseignement aux États-Unis et en Europe. L’existence d’un lien entre les deux groupes avait déjà été soupçonnée, mais sans avoir pu être prouvée jusqu’à présent. Il apparaît désormais que GreyEnergy, le « successeur » de BlackEnergy a attaqué des infrastructures industrielles et critiques, principalement en Ukraine, avec un logiciel malveillant qui présente de fortes similitudes architecturales avec celui de BlackEnergy.

« Le partage de la même infrastructure par GreyEnergy et Sofacy confirme leur collaboration à nos yeux », commente Maria Garnaeva, chercheuse en sécurité au sein de Kaspersky Lab ICS CERT. « Nous pouvons ainsi nous faire une meilleure idée de leurs capacités conjointes, de leurs intentions et de leurs cibles potentielles. Plus nous en saurons sur leurs comportements, mieux nous pourrons protéger nos clients contre des attaques complexes. »