Zebrocy. Um novo grupo APT que afeta ambientes ICS e organismos governamentais?
Existe realmente uma sobreposição entre as TTPs (Tactics, Techniques e Procedures) de GreyEnergy e Sofacy? Surgiu realmente um novo grupo chamado Zebrocy?
Em novembro de 2014, publicámos esta entrada na qual descrevíamos como o APT Sandworm (principalmente através do grupo BlackEnergy) afetou, entre junho e outubro de 2014, sistemas transacionais de órgãos governamentais (OTAN, governo ucraniano, etc…) e como, entre novembro de 2014 e os primeiros meses de 2015, utilizou determinados sistemas SCADA (CIMPLICITY HMI principalmente) como vetor de ataque para comprometer os ambientes industriais.
Uns anos mais tarde, em outubro de 2018, a companhia ESET publicou este relatório no qual se recolhia a atividade do denominado grupo GreyEnergy, como o sucessor do grupo BlackEnergy. GreyEnergy também atuou aproveitando vulnerabilidades de sistemas industriais, localizados principalmente na Ucrânia.
Por outro lado, é conhecido o grupo APT denominado Sofacy (ou APT28) pelas suas atividades de ciberespionagem. Recentemente, a companhia Kaspersky identificou uma sobreposição entre a forma de trabalhar dos grupos GreyEnergy e Sofacy, denominando este grupo emergente Zebrocy.
Os objetivos de Zebrocy são empresas governamentais localizadas em diferentes países do Oriente Médio, Europa e Ásia.
A principal descoberta realizada é que tanto GreyEnery como Sofacy estão a utilizar os mesmos servidores ao mesmo tempo e se dirigiram a organizações similares.
Existe realmente uma sobreposição entre as TTPs (Tactics, Techniques e Procedures) de GreyEnergy e Sofacy? Surgiu realmente um novo grupo chamado Zebrocy?
Mostramos a seguir alguns detalhes interessantes.
Servidores C2 utilizados tanto por Zebrocy e GreyEnergy: Demonstrou-se que estes servidores foram utilizados indistintamente por ambos os grupos:
- Server 193.23.181[.]151 utilizado por Zebrocy e GreyEnergy em junho de 2018.
- Server 185.217.0[.]124 utilizado por GreyEnergy entre maio e junho de 2018 e por Zebrocy em junho de 2018.
Documento comum utilizado por Zebrocy e GreyEnergy para realizar uma campanha de spearfishing denominado “Seminar.rtf”.
Objetivo comum de ambos os grupos: Empresas do setor industrial e governamentais do Cazaquistão.
Após estas evidências, parece provável a relação entre GreyEnergy e uma possível cisão de Sofacy, que se denominou Zebrocy.
Se necessitar de mais informações sobre os grupos de APTs que têm como objetivo os ambientes industriais e/ou as infraestruturas críticas e necessitar de saber que contramedidas pode implementar para mitigar as suas possíveis consequências perante incidentes de segurança, entre em contacto connosco.
Fonte: Karpesky Lab ICS CERT
