Групу Gamaredon експерти з кібербезпеки відносять до російського 18 центру інформаційної безпеки ФСБ, який діє в окупованому Криму.
Спеціалісти компанії ESET, лідера у галузі інформаційної безпеки, підготували огляд діяльності пов'язаної з Росією APT-групи Gamaredon (також відомої як UAC-0010 та Armageddon), що діє принаймні з 2013 року та наразі є найбільш активною в Україні. Як зазначають в ESET, більшість атак кіберзлочинців націлені на українські державні установи, однак в 2022-2023 роках спеціалісти ESET зафіксували спроби атак цілей в кількох країнах НАТО, а саме в Болгарії, Латвії, Литві та Польщі.
Зокрема, нова загроза PteroBleed фокусувалася на викраденні цінних даних, пов’язаних із українською військовою системою, а також із вебпошти, яку використовує державна установа в Україні. Крім цього, група кіберзлочинців розробила нові інструменти, націлені на крадіжку даних із месенджерів Signal та Telegram, сервісів електронної пошти, а також вебпрограм у браузері.
Варто зазначити, що групу Gamaredon відносять до російського 18 центру інформаційної безпеки ФСБ, який діє в окупованому Криму. Дослідники ESET вважають, що ці кіберзлочинці співпрацюють також з іншою групою InvisiMole.
Які поширені методи атак кіберзлочинців?
Група Gamaredon використовує способи заплутування коду, які постійно змінюються, та методи для обходу блокування на основі домену. Таким чином, зловмисники перешкоджають відстеженню, оскільки вони ускладнюють автоматичне виявлення та блокування своїх інструментів. Тим не менш, під час розслідування дослідникам ESET вдалося виявити ці тактики та відстежити діяльність Gamaredon.
Кіберзлочинці розгортали свої шкідливі інструменти для атаки цілей в Україні задовго до початку повномасштабного вторгнення росії у 2022 році. Для інфікування нових жертв Gamaredon поширює фішингові листи. Потім кіберзлочинці за допомогою шкідливих програм змінюють існуючі документи Word або створюють нові файли на підключених USB-накопичувачах та очікують їх поширення від першої жертви до інших потенційних жертв.
"Gamaredon, на відміну від більшості APT-груп, не намагається уникати виявлення якомога довше за допомогою використання нових методів для кібершпигунства, а, ймовірно, зловмисники навіть не проти бути виявленими під час їх діяльності. Незважаючи на те, що їм не так важливо бути непоміченими, вони все одно докладають багато зусиль, щоб уникнути блокування рішеннями з безпеки та намагаються підтримувати доступ до скомпрометованих систем", – пояснює дослідник ESET Золтан Руснак.
"Як правило, Gamaredon намагається зберегти доступ, розгортаючи кілька простих завантажувачів або бекдорів одночасно. Недосконалість інструментів Gamaredon компенсується частими оновленнями та використанням методів заплутування коду, які регулярно змінюються, – додає дослідник ESET. – Попри відносну простоту інструментів, агресивний підхід та можливість залишатися в системі непоміченими роблять групу Gamaredon значною загрозою. Із урахуванням війни, що триває, Gamaredon продовжить зосереджуватися на атаках цілей в Україні".
Детальніше про діяльність APT-групи Gamaredon читайте у повному звіті ESET.
Через небезпеку кібератак спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема не відкривати невідомі листи та документи, використовувати складні паролі та двофакторну автентифікацію, вчасно оновлювати програмне забезпечення, а також забезпечити надійний захист домашніх пристроїв та корпоративної мережі.
ESET – експерт у сфері захисту від кіберзлочинності та цифрових загроз, міжнародний розробник рішень з ІТ-безпеки, провідний постачальник у галузі створення технологій виявлення загроз. Заснована у 1992 році, компанія ESET сьогодні має розширену партнерську мережу й представництва в більш ніж 180 країнах світу. Головний офіс компанії знаходиться у Братиславі, Словаччина.