Компания ESET — лидер в области информационной безопасности — подготовила обзор деятельности APT-группы Gamaredon (также известную как UAC-0010 и Armageddon), связанной с россией, которая действует по крайней мере с 2013 года и является наиболее активной в Украине. Большинство атак киберпреступников нацелены на украинские государственные учреждения, однако в 2022-2023 годах специалисты ESET зафиксировали попытки атак целей в нескольких странах НАТО, а именно в Болгарии, Латвии, Литве и Польше.
В частности, новая угроза PteroBleed фокусировалась на краже ценных данных, связанных с украинской военной системой, а также с веб-почты, которую использует государственное учреждение в Украине. Кроме того, группа киберпреступников разработала новые инструменты, нацеленные на кражу данных из мессенджеров Signal и Telegram, сервисов электронной почты, а также веб-программ в браузере.
Стоит отметить, что группу Gamaredon относят к российскому 18 центру информационной безопасности ФСБ, который действует в оккупированном Крыму. Исследователи ESET считают, что эти киберпреступники также сотрудничают с другой группой InvisiMole.
Какие распространенные методы атак киберпреступников?
Группа Gamaredon использует способы запутывания кода, которые постоянно меняются и методы для обхода блокировки на основе домена. Таким образом, злоумышленники препятствуют отслеживанию, поскольку они затрудняют автоматическое обнаружение и блокировку своих инструментов. Тем не менее, в ходе расследования исследователям ESET удалось выявить эти тактики и отследить деятельность Gamaredon.
Киберпреступники разворачивали свои вредоносные инструменты для атаки целей в Украине задолго до начала полномасштабного вторжения россии в 2022 году. Для заражения новых жертв Gamaredon распространяет фишинговые письма. Затем киберпреступники с помощью вредоносных программ меняют существующие документы Word или создают новые файлы на подключенных USB-накопителях и ожидают их распространения от первой жертвы до других потенциальных жертв.
«Gamaredon, в отличие от большинства APT-групп, не пытается избегать обнаружения как можно дольше с помощью использования новых методов для кибершпионажа, а, вероятно, злоумышленники даже не против быть обнаруженными во время их деятельности. Несмотря на то, что им не столь важно быть незамеченными, они все равно прилагают много усилий, чтобы избежать блокирования решениями по безопасности и пытаются поддерживать доступ к скомпрометированным системам», — объясняет Золтан Руснак, исследователь ESET.
«Как правило, Gamaredon пытается сохранить доступ, разворачивая несколько простых загрузчиков или бэкдоров одновременно. Несовершенство инструментов Gamaredon компенсируется частыми обновлениями и использованием методов запутывания кода, которые регулярно меняются, — добавляет исследователь ESET. — Несмотря на относительную простоту инструментов, агрессивный подход и возможность оставаться в системе незамеченными делают группу Gamaredon значительной угрозой. С учетом войны, которая продолжается, Gamaredon может и в дальнейшем сосредотачиваться на атаках целей в Украине».
Подробнее о деятельности APT группы Gamaredon читайте в полном отчете ESET.
Из-за опасности кибератак специалисты ESET рекомендуют придерживаться основных правил кибербезопасности, в частности, не открывать неизвестные письма и документы, использовать сложные пароли и двухфакторную аутентификацию, своевременно обновлять программное обеспечение, а также обеспечить надежную защиту домашних устройств и корпоративной сети.
В случае обнаружения вредоносной деятельности в собственных IT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.