Zebrocy, ¿nuevo grupo APT que afecta a entornos ICS y organismos gubernamentales?

En noviembre de 2014 publicábamos esta entrada en la que describíamos como el APT Sandworm (principalmente a través del grupo BlackEnergy) afectó entre junio y octubre de 2014 a sistemas transaccionales de órganos gubernamentales (OTAN, gobierno ucraniano, etc…) y como entre noviembre de 2014 y los primeros meses de 2015 utilizó determinados sistemas SCADA (CIMPLICITY HMI principalmente) como vector de ataque para comprometer los entornos industriales.

Unos años más tarde, en octubre de 2018, la compañía ESET publicaba este informe [PDF] en el que se recogía la actividad del denominado grupo GreyEnergy, como el sucesor del grupo BlackEnergy. GreyEnergy, también actuó aprovechando vulnerabilidades de sistemas industriales, ubicados principalmente en Ucrania.

Por otro lado, es conocido el grupo APT denominado Sofacy (o APT28) por sus actividades de ciberespionaje. Recientemente, la compañía Kaspersky ha identificado un solape entre la forma de trabajar de los grupos GreyEnergy y Sofacy, denominando a este grupo emergente Zebrocy.

Los objetivos de Zebrocy son empresas gubernamentales ubicadas en diferentes países de Oriente Medio, Europa y Asia. El principal descubrimiento realizado, es que tanto GreyEnery como Sofacy están utilizando los mismos servidores al mismo tiempo y se dirigieron organizaciones similares.

¿Existe realmente un solapamiento entre las TTPs (Tactics, Techniques y Procedures) de GreyEnergy y Sofacy? ¿Ha surgido realmente un nuevo grupo llamado Zebrocy?

Documento común utilizado por Zebrocy y GreyEnergy para realizar una campaña de spear phishing denominado "Seminar.rtf".

Tras estas evidencias, parece probable la relación entre GreyEnergy y una posible escisión de Sofacy, que se ha denominado Zebrocy.

Fuente: Ciber Seguridad Logitek