Ukrajina označila ruských dôstojníkov FSB za hackovanie ako skupinu Gamaredon

Popredná ukrajinská agentúra presadzovania práva a kontrarozviedky vo štvrtok zverejnila skutočnú identitu piatich osôb údajne zapojených do digitálnych prienikov pripisovaných kyberšpionážnej skupine s názvom Gamaredon, ktorá spája členov s ruskou Federálnou bezpečnostnou službou (FSB).

Ukrajinská bezpečnostná služba (SSU) nazvala hackerskú skupinu „špeciálnym projektom FSB, ktorý sa špecificky zameral na Ukrajinu“, uviedla, že páchateľmi „sú dôstojníci ‚krymskej‘ FSB a zradcovia, ktorí prebehli k nepriateľovi počas okupácie polostrova v r. 2014.”

Mená piatich osôb, o ktorých SSU tvrdí, že sú súčasťou tajnej operácie, sú Sklianko Oleksandr Mykolajovyč, Černykh Mykola Serhiiovyč, Starčenko Anton Oleksandrovyč, Miroshnychenko Oleksandr Valerijovyč a Suščenko Oleh Oleksandrovyč.

Skupina Gamaredon (aka Primitive Bear, Armageddon, Winterflounder alebo Iron Tilden) je od svojho vzniku v roku 2013 zodpovedná za množstvo škodlivých phishingových kampaní zameraných predovšetkým na ukrajinské inštitúcie, ktorých cieľom je zbierať tajné informácie z kompromitovaný Windows systémy pre geopolitické zisky.

Predpokladá sa, že aktér hrozby vykonal nie menej ako 5000 kybernetických útokov proti verejným orgánom a kritickej infraštruktúre nachádzajúcej sa v krajine a pokusom o infikovanie 1500 vládnych počítačových systémov, pričom väčšina útokov bola zameraná na bezpečnostné, obranné a orgány činné v trestnom konaní s cieľom získať spravodajské informácie.

„Na rozdiel od iných skupín APT sa zdá, že skupina Gamaredon nevyvíja žiadne úsilie v snahe zostať pod radarom,“ poznamenala slovenská kyberbezpečnostná spoločnosť ESET v analýze zverejnenej v júni 2020. „Aj keď ich nástroje majú kapacitu na stiahnutie a spustenie ľubovoľného binárne súbory, ktoré by mohli byť oveľa nenápadnejšie, zdá sa, že hlavným cieľom tejto skupiny je šíriť sa čo najďalej a najrýchlejšie v sieti svojho cieľa a zároveň sa pokúšať exfiltrovať dáta.“

Okrem silného spoliehania sa na taktiku sociálneho inžinierstva ako vektor narušenia, je známe, že Gamaredon investoval do radu nástrojov na kosenie prostredníctvom obrany organizácií, ktoré sú kódované v rôznych programovacích jazykoch, ako sú VBScript, VBA Script, C#, C++, ako aj pomocou príkazových shellov CMD, PowerShell a .NET.

„Aktivity skupiny sa vyznačujú vtieravosťou a drzosťou,“ upozornila agentúra v technickej správe.

Hlavným v arzenáli malvéru je modulárny nástroj pre vzdialenú správu s názvom Pterodo (aka Pteranodon), ktorý prichádza s funkciami vzdialeného prístupu, zaznamenávaním stlačenia klávesov, možnosťou snímania snímok obrazovky, prístupom k mikrofónu a tiež sťahovaním ďalších modulov zo vzdialeného servera. Používa sa aj zlodej súborov založený na .NET, ktorý je určený na zhromažďovanie súborov s nasledujúcimi príponami: *.doc, *.docx, *.xls, *.rtf, *.odt, *.txt, *.jpg, a *.pdf.

Tretí nástroj sa týka škodlivého obsahu, ktorý je navrhnutý tak, aby distribuoval malvér prostredníctvom pripojených vymeniteľných médií, okrem zhromažďovania a odčerpávania údajov uložených v týchto zariadeniach.

“SSU neustále podniká kroky na potlačenie a neutralizáciu kybernetickej agresie Ruska proti Ukrajine,” uviedla agentúra. „Táto skupina jednotlivcov, zriadená ako jednotka takzvaného ‚Úradu FSB Ruska v Krymskej republike a meste Sevastopol‘, pôsobila ako základňa […] z roku 2014 účelovo ohrozujúce riadne fungovanie štátnych orgánov a kritickej infraštruktúry Ukrajiny.”