Cyberszpiedzy nie odpuszczają Ukrainie i jej sojusznikom z NATO – Analitycy ESET odkryli kolejne próby cyberataków ze strony cyberszpiegowskiej grupy Gamaredon

itreseller.com.pl 1 miesiąc temu

Analitycy ESET odkryli kolejne próby cyberataków ze strony cyberszpiegowskiej grupy Gamaredon, głównie wymierzone w ukraińskie instytucje rządowe i wojskowe. W ciągu roku (okres listopad 2022-grudzień 2023) grupa przeprowadziła ataki na ponad 1 000 unikalnych urządzeń w Ukrainie. Atakowano głównie skrzynki mailowe, komunikatory oraz platformy instytucji. Wśród atakowanych państw znalazła się m.in. Polska.

Ataki wymierzone w Ukrainę i NATO

Analitycy ESET odkryli działania cyberszpiegowskie powiązanej z Rosją grupy Gamaredon, która według ukraińskiej Służby Bezpieczeństwa jest powiązana z rosyjskim FSB. Gamaredon działa od 2013 roku i określany jest jako grupa APT (Advanced Persistent Threat), czyli zorganizowana jednostka realizująca wyrafinowane ataki w cyberprzestrzeni.

– Grupy APT często posiadają wsparcie rządowe, a celem ich działania jest destabilizacja infrastruktury, osłabianie strategicznych punktów przeciwnika czy kradzież danych. Działanie ma to instytucjonalny, często uporczywy charakter, wymaga znacznego nakładu zasobów, czasu, specjalistycznej wiedzy i jest silnie nastawione na efekt. To odróżnia członków grup APT od standardowych cyberprzestępców – precyzuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET.

W okresie od 1 listopada 2022 r. do 31 grudnia 2023 r. grupa Gamaredon zaatakowała ponad tysiąc unikalnych urządzeń w Ukrainie. Działania cyberszpiegów dotyczyły nie tylko Ukrainy. W kwietniu 2022 r. i lutym 2023 r. zarejestrowano również próby ataków na inne kraje Europy Środkowo-Wschodniej należące do NATO: Bułgarię, Łotwę, Litwę i Polskę – na szczęście jak podkreślają eksperci, nieskuteczne.

Jak działają cyberszpiedzy?

Przestępcy z grupy Gamaredon atakują poprzez tzw. spearphishing, czyli działania wymierzone w starannie wybrane osoby, które zwykle znajdują się wysoko w hierarchii instytucji i w związku z tym mają dostęp do ważnych, szczególnie wrażliwych danych. Cyberszpiedzy infekują dokumenty (np. Word) i nośniki USB złośliwym oprogramowaniem. Zakładają, iż z czasem malware zostanie przekazany kolejnym pracownikom instytucji. W 2023 r. grupa Gamaredon znacznie rozszerzyła swoje kompetencje, opracowując kilka nowych narzędzi z wykorzystaniem języka PowerShell.

Głównym celem działań grupy jest zdobycie cennych danych z poczty e-mail, aplikacji działających w przeglądarkach internetowych oraz komunikatorów, zwłaszcza popularnych w Europie Wschodniej Signal i Telegram. Część złośliwego systemu miała umożliwiać również kradzież danych związanych z ukraińskim systemem wojskowym oraz z poczty e-mail używanej przez ukraińską instytucję rządową.

Grupa Gamaredon wykorzystuje technikę znaną jako fast flux DNS, obejmującą częste zmiany adresy IP serwerów dowodzenia i kontroli (C&C). Ponadto grupa często rejestruje i aktualizuje wiele nowych domen. Wszystko po to, by utrudnić odpowiednim służbom ustalenie lokalizacji oraz zablokowanie działań grupy.

– Członkom Gamaredonu nie zależy na tym, aby jak najdłużej pozostać w ukryciu, nie stosują w tym celu nowoczesnych technik, można wręcz powiedzieć, iż lubią, kiedy jest o nich głośno. To mocno odróżnia ich od innych grup APT, którym zwykle zależy na tym, aby jak najdłużej pozostać niezauważonym. Gamaredon wkłada dużo wysiłku w to, żeby ich działania nie zostały udaremnione, jednak nie poprzez działanie w ukryciu. Jednocześnie jednak wkładają wiele wysiłku, aby uniknąć dokładnego namierzenia, co by prowadziło do zablokowania ich działań przez inne podmioty lub oprogramowanie – wyjaśnia Zoltán Rusnák, analityk ESET, który odkrył i przeanalizował opisywaną działalność grupy Gamaredon.

Cyberataki elementem wojny

Jak podkreślają przedstawiciele ESET, nie tyle wyrafinowane i kreatywne metody, a konsekwencja w działaniu jest najbardziej groźna w przypadku działań cyberprzestępców należących do Gamaredonu.

– Członkowie grupy za wszelką cenę starają się utrzymać dostępy do dokumentów czy dysków, które raz uzyskali. Tym samym intensyfikują i wielokrotnie powtarzają działania. Spodziewamy się, iż grupa będzie przez cały czas skoncentrowana na atakach na Ukrainę – dodaje.

Ataki spearphishingowe to jedynie część cyberszpiegowskich i cyberprzestępczych działań wymierzonych w Ukrainę. Przykładowo w połowie grudnia 2023 największe ukraińskie przedsiębiorstwo telekomunikacyjne Kyivstar padło ofiarą cyberataku, w efekcie którego około 24,3 mln abonentów straciło dostęp do usług telefonicznych i internetowych, a sklepy w całej Ukrainie nie były w stanie przetwarzać płatności kartami.

W połowie lutego 2022 infrastruktura bankowa została poddana zmasowanym atakom DDoS, przez co przestały działać strony dwóch największych ukraińskich banków. Również w styczniu i lutym 2022 roku atak konwencjonalny ze strony Rosji został poprzedzony cyberatakami na strony internetowe rządu oraz innych instytucji. CERT-UA szacuje, iż w całym 2023 r. przeprowadzono ponad 2000 prób cyberataków na Ukrainę.

Zoltán Rusnák podkreśla, iż w najbliższych miesiącach możemy spodziewać się kolejnych ataków ze strony grupy Gamaredon na ukraińskie instytucje. W związku z tym wszystkie kraje sojusznicze powinny stale trzymać rękę na pulsie i utrzymywać najwyższe standardy cyberbezpieczeństwa w swoich kluczowych instytucjach.

IT Channel Leaders 2024 – zobacz film z pierwszej edycji wydarzenia!

Idź do oryginalnego materiału