Специалисты компании ESET, лидера в области информационной безопасности, подготовили обзор деятельности связанной с Россией APT-группы Gamaredon (также известной как UAC-0010 и Armageddon), которая действует по крайней мере с 2013 года и сейчас является наиболее активной в Украине.
Как отмечают в ESET, большинство атак киберпреступников нацелены на украинские государственные учреждения, однако в 2022-2023 годах специалисты ESET зафиксировали попытки атак целей в нескольких странах НАТО, а именно в Болгарии, Латвии, Литве и Польше.
В частности, новая угроза PteroBleed фокусировалась на похищении ценных данных, связанных с украинской военной системой, а также с веб-почты, которую использует государственное учреждение в Украине. Кроме этого, группа киберпреступников разработала новые инструменты, нацеленные на кражу данных из мессенджеров Signal и Telegram, сервисов электронной почты, а также веб-приложений в браузере.
Стоит отметить, что группу Gamaredon относят к российскому 18 центру информационной безопасности ФСБ, который действует в оккупированном Крыму. Исследователи ESET считают, что эти киберпреступники сотрудничают также с другой группой InvisiMole.
Какие распространенные методы атак киберпреступников?
Группа Gamaredon использует постоянно меняющиеся способы запутывания кода и методы для обхода блокировки на основе домена. Таким образом, злоумышленники препятствуют отслеживанию, поскольку они затрудняют автоматическое обнаружение и блокировку своих инструментов. Тем не менее, в ходе расследования исследователям ESET удалось выявить эти тактики и отследить деятельность Gamaredon.
Киберпреступники разворачивали свои вредоносные инструменты для атаки целей в Украине задолго до начала полномасштабного вторжения России в 2022 году. Для инфицирования новых жертв Gamaredon распространяет фишинговые письма. Затем киберпреступники с помощью вредоносных программ изменяют существующие документы Word или создают новые файлы на подключенных USB-накопителях и ожидают их распространения от первой жертвы к другим потенциальным жертвам.
"Gamaredon, в отличие от большинства APT-групп, не пытается избегать обнаружения как можно дольше с помощью использования новых методов для кибершпионажа, а, вероятно, злоумышленники даже не против быть обнаруженными во время их деятельности. Несмотря на то, что им не так важно быть незамеченными, они все равно прилагают много усилий, чтобы избежать блокировки решениями по безопасности и пытаются поддерживать доступ к скомпрометированным системам", – объясняет исследователь ESET Золтан Руснак.
"Как правило, Gamaredon пытается сохранить доступ, развертывая несколько простых загрузчиков или бэкдоров одновременно. Несовершенство инструментов Gamaredon компенсируется частыми обновлениями и использованием регулярно меняющихся методов запутывания кода, – добавляет исследователь ESET, – Несмотря на относительную простоту инструментов, агрессивный подход и возможность оставаться в системе незамеченными делают группу Gamaredon значительной угрозой. С учетом продолжающейся войны, Gamaredon продолжит сосредотачиваться на атаках целей в Украине".
Подробнее о деятельности APT-группы Gamaredon читайте в полном отчете ESET.
Из-за опасности кибератак специалисты ESET рекомендуют придерживаться основных правил кибербезопасности, в частности не открывать неизвестные письма и документы, использовать сложные пароли и двухфакторную аутентификацию, вовремя обновлять программное обеспечение, а также обеспечить надежную защиту домашних устройств и корпоративной сети.
О компании:
ESET – эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.