Компанія ESET підготувала огляд діяльності APT-групи Gamaredon, (також відомої як UAC-0010 та Armageddon), пов’язану з росією, яка діє принаймні з 2013 року та наразі є найбільш активною в Україні. Більшість атак кіберзлочинців націлені на українські державні установи, однак в 2022-2023 роках спеціалісти ESET зафіксували спроби атак цілей в кількох країнах НАТО, а саме в Болгарії, Латвії, Литві та Польщі.
Зокрема нова загроза PteroBleed фокусувалася на викраденні цінних даних, пов’язаних із українською військовою системою, а також із вебпошти, яку використовує державна установа в Україні. Крім цього, група кіберзлочинців розробила нові інструменти, націлені на крадіжку даних із месенджерів Signal та Telegram, сервісів електронної пошти, а також вебпрограм у браузері.
Варто зазначити, що групу Gamaredon відносять до російського 18 центру інформаційної безпеки ФСБ, який діє в окупованому Криму. Дослідники ESET вважають, що ці кіберзлочинці співпрацюють також з іншою групою InvisiMole.
Які поширені методи атак кіберзлочинців?
Група Gamaredon використовує способи заплутування коду, які постійно змінюються, та методи для обходу блокування на основі домену. Таким чином, зловмисники перешкоджають відстеженню, оскільки вони ускладнюють автоматичне виявлення та блокування своїх інструментів. Тим не менш, під час розслідування дослідникам ESET вдалося виявити ці тактики та відстежити діяльність Gamaredon.
Кіберзлочинці розгортали свої шкідливі інструменти для атаки цілей в Україні задовго до початку повномасштабного вторгнення росії у 2022 році. Для інфікування нових жертв Gamaredon поширює фішингові листи. Потім кіберзлочинці за допомогою шкідливих програм змінюють існуючі документи Word або створюють нові файли на підключених USB-накопичувачах та очікують їх поширення від першої жертви до інших потенційних жертв.
«Gamaredon, на відміну від більшості APT-груп, не намагається уникати виявлення якомога довше за допомогою використання нових методів для кібершпигунства, а, ймовірно, зловмисники навіть не проти бути виявленими під час їх діяльності. Незважаючи на те, що їм не так важливо бути непоміченими, вони все одно докладають багато зусиль, щоб уникнути блокування рішеннями з безпеки та намагаються підтримувати доступ до скомпрометованих систем», — пояснює Золтан Руснак, дослідник ESET.
«Як правило, Gamaredon намагається зберегти доступ, розгортаючи кілька простих завантажувачів або бекдорів одночасно. Недосконалість інструментів Gamaredon компенсується частими оновленнями та використанням методів заплутування коду, які регулярно змінюються, — додає дослідник ESET. — Попри відносну простоту інструментів, агресивний підхід та можливість залишатися в системі непоміченими роблять групу Gamaredon значною загрозою. Із урахуванням війни, що триває, Gamaredon продовжить зосереджуватися на атаках цілей в Україні».