Zebrocy. ¿Un nuevo grupo APT que afecta a entornos ICS y organismos gubernamentales?
¿Existe realmente un solapamiento entre las TTPs (Tactics, Techniques y Procedures) de GreyEnergy y Sofacy? ¿Ha surgido realmente un nuevo grupo llamado Zebrocy?
En noviembre de 2014 publicábamos esta entrada en la que describíamos como el APT Sandworm (principalmente a través del grupo BlackEnergy) afectó entre junio y octubre de 2014 a sistemas transaccionales de órganos gubernamentales (OTAN, gobierno ucraniano, etc…) y como entre noviembre de 2014 y los primeros meses de 2015 utilizó determinados sistemas SCADA (CIMPLICITY HMI principalmente) como vector de ataque para comprometer los entornos industriales.
Unos años más tarde, en octubre de 2018, la compañía ESET publicaba este informe en el que se recogía la actividad del denominado grupo GreyEnergy, como el sucesor del grupo BlackEnergy. GreyEnergy, también actuó aprovechando vulnerabilidades de sistemas industriales, ubicados principalmente en Ucrania.
Por otro lado, es conocido el grupo APT denominado Sofacy (o APT28) por sus actividades de ciberespionaje. Recientemente, la compañía Kaspersky ha identificado un solape entre la forma de trabajar de los grupos GreyEnergy y Sofacy, denominando a este grupo emergente Zebrocy.
Los objetivos de Zebrocy son empresas gubernamentales ubicadas en diferentes países de Oriente Medio, Europa y Asia.
El principalmente descubrimiento realizado, es que tanto GreyEnery como Sofacy están utilizando los mismos servidores al mismo tiempo y se dirigieron organizaciones similares.
¿Existe realmente un solapamiento entre las TTPs (Tactics, Techniques y Procedures) de GreyEnergy y Sofacy? ¿Ha surgido realmente un nuevo grupo llamado Zebrocy?
Mostramos a continuación algunos detalles interesantes.
Servidores C2 utilizados tanto por Zebrocy y GreyEnergy: Se ha demostrado que estos servidores se han utilizado indistintamente por ambos grupos:
- Server 193.23.181[.]151utilizado por Zebrocy y GreyEnergy en junio de 2018.
- Server 185.217.0[.]124utilizado por GreyEnergy entre mayo y junio de 2018 y por Zebrocy en junio de 2018.
Documento común utilizado por Zebrocy y GreyEnergy para realizar una campaña de spearfishing denominado “Seminar.rtf”.
Objetivo común de ambos grupos: Empresas del sector industrial y gubernamentales de Kazajstán.
Tras estas evidencias, parece probable la relación entre GreyEnergy y una posible escisión de Sofacy, que se ha denominado Zebrocy.
Si necesitas de más información sobre los grupos de APTs que tienen como objetivo los entornos industriales y/o las infraestructuras críticas y necesitas saber que contramedidas puedes implementar para mitigar sus posibles consecuencias ante incidentes de seguridad, ponte en contacto con nosotros.
Fuente: Karpesky Lab ICS CERT
