Компанія ESET — лідер у галузі інформаційної безпеки — підготувала огляд діяльності APT-групи Gamaredon, (також відомої як UAC-0010 та Armageddon), пов’язану з росією, яка діє принаймні з 2013 року та наразі є найбільш активною в Україні. Більшість атак кіберзлочинців націлені на українські державні установи, однак в 2022-2023 роках спеціалісти ESET зафіксували спроби атак цілей в кількох країнах НАТО, а саме в Болгарії, Латвії, Литві та Польщі.
Зокрема нова загроза PteroBleed фокусувалася на викраденні цінних даних, пов’язаних із українською військовою системою, а також із вебпошти, яку використовує державна установа в Україні. Крім цього, група кіберзлочинців розробила нові інструменти, націлені на крадіжку даних із месенджерів Signal та Telegram, сервісів електронної пошти, а також вебпрограм у браузері.
Варто зазначити, що групу Gamaredon відносять до російського 18 центру інформаційної безпеки ФСБ, який діє в окупованому Криму. Дослідники ESET вважають, що ці кіберзлочинці співпрацюють також з іншою групою InvisiMole.
Які поширені методи атак кіберзлочинців?
Група Gamaredon використовує способи заплутування коду, які постійно змінюються, та методи для обходу блокування на основі домену. Таким чином, зловмисники перешкоджають відстеженню, оскільки вони ускладнюють автоматичне виявлення та блокування своїх інструментів. Тим не менш, під час розслідування дослідникам ESET вдалося виявити ці тактики та відстежити діяльність Gamaredon.
Кіберзлочинці розгортали свої шкідливі інструменти для атаки цілей в Україні задовго до початку повномасштабного вторгнення росії у 2022 році. Для інфікування нових жертв Gamaredon поширює фішингові листи. Потім кіберзлочинці за допомогою шкідливих програм змінюють існуючі документи Word або створюють нові файли на підключених USB-накопичувачах та очікують їх поширення від першої жертви до інших потенційних жертв.
«Gamaredon, на відміну від більшості APT-груп, не намагається уникати виявлення якомога довше за допомогою використання нових методів для кібершпигунства, а, ймовірно, зловмисники навіть не проти бути виявленими під час їх діяльності. Незважаючи на те, що їм не так важливо бути непоміченими, вони все одно докладають багато зусиль, щоб уникнути блокування рішеннями з безпеки та намагаються підтримувати доступ до скомпрометованих систем», — пояснює Золтан Руснак, дослідник ESET.
«Як правило, Gamaredon намагається зберегти доступ, розгортаючи кілька простих завантажувачів або бекдорів одночасно. Недосконалість інструментів Gamaredon компенсується частими оновленнями та використанням методів заплутування коду, які регулярно змінюються, — додає дослідник ESET. — Попри відносну простоту інструментів, агресивний підхід та можливість залишатися в системі непоміченими роблять групу Gamaredon значною загрозою. Із урахуванням війни, що триває, Gamaredon продовжить зосереджуватися на атаках цілей в Україні».
Детальніше про діяльність APT-групи Gamaredon читайте у повному звіті ESET.
Через небезпеку кібератак спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема не відкривати невідомі листи та документи, використовувати складні паролі та двофакторну автентифікацію, вчасно оновлювати програмне забезпечення, а також забезпечити надійний захист домашніх пристроїв та корпоративної мережі.
У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.