Кібершпигуни Gamaredon атакують Україну та країни НАТО

0
1 319 views
Кібершпигуни атакують Україну

ESET підготувала огляд діяльності APT-групи Gamaredon, (також відомої як UAC-0010 та Armageddon), пов’язану з росією, яка діє принаймні з 2013 року та наразі є найбільш активною в Україні. Більшість атак кіберзлочинців націлені на українські державні установи, однак в 2022-2023 роках спеціалісти ESET зафіксували спроби атак цілей в кількох країнах НАТО, а саме в Болгарії, Латвії, Литві та Польщі.

Зокрема нова загроза PteroBleed фокусувалася на викраденні цінних даних, пов’язаних із українською військовою системою, а також із вебпошти, яку використовує державна установа в Україні. Крім цього, група кіберзлочинців розробила нові інструменти, націлені на крадіжку даних із месенджерів Signal та Telegram, сервісів електронної пошти, а також вебпрограм у браузері.

Варто зазначити, що групу Gamaredon відносять до російського 18 центру інформаційної безпеки ФСБ, який діє в окупованому Криму. Дослідники ESET вважають, що ці кіберзлочинці співпрацюють також з іншою групою InvisiMole.

Семиденне ковзне середнє унікальних машин, атакованих в Україні
Рис. 1. Семиденне ковзне середнє унікальних машин, атакованих в Україні

Які поширені методи атак кіберзлочинців?

Група Gamaredon використовує способи заплутування коду, які постійно змінюються, та методи для обходу блокування на основі домену. Таким чином, зловмисники перешкоджають відстеженню, оскільки вони ускладнюють автоматичне виявлення та блокування своїх інструментів. Тим не менш, під час розслідування дослідникам ESET вдалося виявити ці тактики та відстежити діяльність Gamaredon.

Кіберзлочинці розгортали свої шкідливі інструменти для атаки цілей в Україні задовго до початку повномасштабного вторгнення росії у 2022 році. Для інфікування нових жертв Gamaredon поширює фішингові листи. Потім кіберзлочинці за допомогою шкідливих програм змінюють існуючі документи Word або створюють нові файли на підключених USB-накопичувачах та очікують їх поширення від першої жертви до інших потенційних жертв.

«Gamaredon, на відміну від більшості APT-груп, не намагається уникати виявлення якомога довше за допомогою використання нових методів для кібершпигунства, а, ймовірно, зловмисники навіть не проти бути виявленими під час їх діяльності. Незважаючи на те, що їм не так важливо бути непоміченими, вони все одно докладають багато зусиль, щоб уникнути блокування рішеннями з безпеки та намагаються підтримувати доступ до скомпрометованих систем», — пояснює Золтан Руснак, дослідник ESET.

Графік появи нових інструментів в арсеналі Гамаредона
Рис. 2. Графік появи нових інструментів в арсеналі Gamaredon

Дотримання правил кібербезпеки

«Як правило, Gamaredon намагається зберегти доступ, розгортаючи кілька простих завантажувачів або бекдорів одночасно. Недосконалість інструментів Gamaredon компенсується частими оновленнями та використанням методів заплутування коду, які регулярно змінюються, — додає дослідник ESET. — Попри відносну простоту інструментів, агресивний підхід та можливість залишатися в системі непоміченими роблять групу Gamaredon значною загрозою. Із урахуванням війни, що триває, Gamaredon продовжить зосереджуватися на атаках цілей в Україні».

Детальніше про діяльність APT-групи Gamaredon читайте у повному звіті ESET.

Через небезпеку кібератак спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема не відкривати невідомі листи та документи, використовувати складні паролі та двофакторну автентифікацію, вчасно оновлювати програмне забезпечення, а також забезпечити надійний захист домашніх пристроїв та корпоративної мережі.