حدّد خبراء لدى «كاسبرسكي لاب» تداخلاً في الهجمات الإلكترونية بين مجموعتي قرصنة خطرتين وسيئتي السمعة، هما «GreyEnergy»، التي يُعتقد أنها حلّت محل مجموعة «BlackEnergy»، ومجموعة «Sofacy» الشهيرة بالتجسس الإلكتروني. وتستخدم المجموعتان الخوادم نفسها، وبالتزامن من أجل الوصول إلى أغراض مختلفة. وتعتبر مجموعتا القرصنة «BlackEnergy» و«Sofacy» اثنتين من المجموعات التخريبية الناشطة في المشهد الإلكتروني الحديث. وقد أدّت أنشطتهما في كثير من الأحيان إلى عواقب وخيمة على المستوى الوطني.تسببت «BlackEnergy» في واحدة من أكثر الهجمات الإلكترونية ضرراً في التاريخ، والتي استهدفت منشآت الطاقة الأوكرانية في عام 2015، مسببة انقطاعات واسعة في التيار الكهربائي. وفي الوقت نفسه، شنّت مجموعة «Sofacy» هجمات تخريبية مدمرة على العديد من الجهات الحكومية الأميركية والأوروبية، إلى جانب أجهزة تابعة للأمن القومي والمخابرات. وكان يشتبه في السابق بوجود علاقة بين المجموعتين، ولكن هذا الأمر لم يثبت حتى الآن، بعد أن كُشف النقاب عن أن مجموعة «GreyEnergy» التخريبية، التي خلَفت «BlackEnergy»، تستخدم برمجيات تخريبية للهجوم على أهداف ضمن البنية التحتية الصناعية والحيوية، غالباً في أوكرانيا، مُظهرة تشابهاً كبيراً في التركيبة الهيكلية مع «BlackEnergy». وعثر فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية (ICS CERT) لدى «كاسبرسكي لاب»، وهو الفريق المسؤول عن الأبحاث المتعلقة بالتهديدات المحدقة بالنظم الصناعية وإزالتها، خادمين في أوكرانيا والسويد يستُخدمان بالتزامن من قِبل المجموعتين التخريبيتين منذ يونيو 2018. استخدمت مجموعة «GreyEnergy» الجهازين الخادمين في حملة تصيّد لتخزين ملف خبيث يتمّ تنزيله على أجهزة المستخدمين عند فتحهم مستنداً نصياً مرتبطاً بالبريد الإلكتروني التصيّدي. وفي الوقت نفسه، استخدمت «Sofacy» الخادمين مركزاً للقيادة والتحكم ببرمجياتها الخبيثة. ويمكن القول إن الاستخدام المشترك بين المجموعتين التخريبيتين لفترة قصيرة يعني أن الخادمين شكّلا بنية تحتية مشتركة لهما. وقد تأكّد هذا الأمر بعد ملاحظة استهداف إحدى المجموعتين شركة ما بعد أسبوع من استهدافها من المجموعة الأخرى برسائل بريد إلكتروني تصيدية موجهة. كذلك استخدمت المجموعتان وثائق تصيّد مماثلة أرسلت تحت ستار رسائل بريد إلكتروني واردة من وزارة الطاقة في جمهورية كازاخستان. وقالت ماريا غارنيفا -الباحثة الأمنية في فريق «ICS CERT» لدى «كاسبرسكي لاب»: إن البنية التحتية التي تمّ استغلالها، وتبيّن أنها مشتركة بين هاتين المجموعتين قد تشير إلى «تعاون قائم بين المجموعتين التخربيتين الناطقتين باللغة الروسية». نصائح وتنصح «كاسبرسكي لاب» الشركات باتخاذ الإجراءات التالية من أجل حماية نفسها من هجمات هذه المجموعات التخريبية: • تدريب الموظفين تدريباً متخصّصاً على الأمن الإلكتروني لتمكينهم من التحقق دائماً من عنوان الرابط والبريد الإلكتروني للمرسلين قبل النقر على أي شيء في الرسائل الواردة. • تقديم مبادرات أمنية توعوية تشمل التدريب بطريقة ترفيهية مع تقييم المهارات وتعزيزها من خلال تكرار محاكاة هجمات التصيد. • تفعيل التحديث المؤتمت لأنظمة التشغيل وبرمجيات التطبيقات والحلول الأمنية على الأنظمة التي تعدّ جزءاً من شبكات تقنية المعلومات والشبكات الصناعية في الشركات والمؤسسات. • توظيف حلول حماية متخصصة، مزوّدة بتقنيات مكافحة التصيّد القائمة على السلوك، وتقنيات مكافحة الهجمات الموجهة، فضلاً عن تغذية الأنظمة بالمعلومات المتعلقة بالتهديدات، للتعامل مع التهديدات والتصدي لها، فهذه الحلول قادرة على اكتشاف الهجمات الموجهة المتقدمة ومنعها من خلال تحليل أي سلوك شاذّ في حركة البيانات عبر الشبكة ومنح فرق الأمن الإلكتروني رؤية كاملة في أنحاء الشبكة وأتمتة الاستجابة عند اقتضاء الحاجة.;