„Gamaredon”, grupa hakerska powiązana z Federalną Służbą Bezpieczeństgwa, rozszerza operacje wywiadowcze w miarę trwania inwazji na Ukrainę. Ta grupa hakerów, według ukraińskiego rządu, jest jednostką rosyjskiego wywiadu, która próbowała na początku tego roku uderzyć w dużą firmę rafineryjną z siedzibą w państwie członkowskim NATO.
Grupa, nazywana Gamaredonem, Primitive Bear lub UAC-0010, działa mniej więcej od rozpoczęcia wojny Rosji przeciwko Ukrainie, czyli od 2013-2014 roku. Według Kijowa, ta grupa wywodzi się z samozwańczego „Biura FSB Rosji w Republice Krymu i mieście Sewastopol” i sama informuje, że wśród jej personelu znajdują się byli funkcjonariusze ukraińskich organów ścigania.
Trident Ursa, jak zespół demaskujący hakerów Palo Alto Networks Unit 42 określa cyberprzestępcę, jest „jednym z najbardziej wszechobecnych, natrętnych, nieprzerwanie aktywnych i skoncentrowanych hakerów atakujących Ukrainę”.
Po inwazji Rosji na Ukrainę Gamaredon miał według Unit 42 poszerzyć operacje o zbieranie danych wywiadowczych na temat krajów NATO. Stąd miała się wziąć próba uderzenia w niewymienioną z nazwy firmę rafineryjną w niezidentyfikowanym kraju będącym członkiem Sojuszu. Badacze Unit 42 twierdzą, że poszerzenie celów hakerów objawia się w rozsyłaniu przez grupę przynęt phishingowych w języku angielskim, a także w standardowych wiadomościach w języku ukraińskim.
Ukraiński wywiad i Unit 42 zgadzają się, że grupa w dużym stopniu polega na phishingu jako sposobie wgrywania złośliwego oprogramowania. Infekuje komputery, nakłaniając użytkowników do otwarcia załączonych plików HTML, kliknięcia pozornie niegroźnego łącza lub otwarcia dokumentu programu Word. Próba phishingu o niskim wskaźniku wykrywalności w VirusTotal, zbadana przez Unit 42, wykazała, że sam załącznik Word nie zawiera złośliwego kodu. Zamiast tego pobierał zdalny szablon zawierający makro, które następnie uruchamiało szkodliwy kod.
Jednym ze sposobów omijania cyberobrony przez Gamaredona jest szybka zamiana adresów IP z pomocą techniki zwanej DNS fast flux. Próbuje również ukrywać swoje operacyjne adresy IP wykorzystując fałszywe domeny i subdomeny do przeprowadzania ataków – podaje firma z Palo Alto. Według Unit 42 zdecydowana większość – prawie 96 procent – domen wykorzystywanych przez Gamaredon jest zarejestrowana przy użyciu rosyjskiej domeny reg.ru. Grupa omija środki bezpieczeństwa, takie jak blokowanie złośliwych domen, korzystając z medium społecznościowego Telegram Messenger w celu zarządzania złośliwym oprogramowaniem.
Unit 42/Michał Perzyński
