Analitycy ESET odkryli kolejne próby cyberataków ze strony cyberszpiegowskiej grupy Gamaredon, głównie wymierzone w ukraińskie instytucje rządowe i wojskowe. W ciągu roku (okres listopad 2022-grudzień 2023) grupa przeprowadziła ataki na ponad 1 000 unikalnych urządzeń w Ukrainie. Atakowano głównie skrzynki mailowe, komunikatory oraz platformy instytucji. Wśród atakowanych krajów znalazła się m.in. Polska.
Ataki wymierzone w Ukrainę i NATO
Analitycy ESET odkryli działania cyberszpiegowskie powiązanej z Rosją grupy Gamaredon, która według ukraińskiej Służby Bezpieczeństwa jest powiązana z rosyjskim FSB. Gamaredon działa od 2013 roku i określany jest jako grupa APT (Advanced Persistent Threat), czyli zorganizowana jednostka realizująca wyrafinowane ataki w cyberprzestrzeni.
Grupy APT często posiadają wsparcie rządowe, a celem ich działania jest destabilizacja infrastruktury, osłabianie strategicznych punktów przeciwnika czy kradzież danych. Działanie ma to instytucjonalny, często uporczywy charakter, wymaga znacznego nakładu zasobów, czasu, specjalistycznej wiedzy i jest silnie nastawione na efekt. To odróżnia członków grup APT od standardowych cyberprzestępców – precyzuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
W okresie od 1 listopada 2022 r. do 31 grudnia 2023 r. grupa Gamaredon zaatakowała ponad tysiąc unikalnych urządzeń w Ukrainie. Działania cyberszpiegów dotyczyły nie tylko Ukrainy. W kwietniu 2022 r. i lutym 2023 r. zarejestrowano również próby ataków na inne kraje Europy Środkowo-Wschodniej należące do NATO: Bułgarię, Łotwę, Litwę i Polskę – na szczęście jak podkreślają eksperci, nieskuteczne.
Jak działają cyberszpiedzy?
Przestępcy z grupy Gamaredon atakują poprzez tzw. spearphishing, czyli działania wymierzone w starannie wybrane osoby, które zwykle znajdują się wysoko w hierarchii instytucji i w związku z tym mają dostęp do ważnych, szczególnie wrażliwych danych. Cyberszpiedzy infekują dokumenty (np. Word) i nośniki USB złośliwym oprogramowaniem. Zakładają, że z czasem malware zostanie przekazany kolejnym pracownikom instytucji. W 2023 r. grupa Gamaredon znacznie rozszerzyła swoje kompetencje, opracowując kilka nowych narzędzi z wykorzystaniem języka PowerShell.
Głównym celem działań grupy jest zdobycie cennych danych z poczty e-mail, aplikacji działających w przeglądarkach internetowych oraz komunikatorów, zwłaszcza popularnych w Europie Wschodniej Signal i Telegram. Część złośliwego oprogramowania miała umożliwiać również kradzież danych związanych z ukraińskim systemem wojskowym oraz z poczty e-mail używanej przez ukraińską instytucję rządową.
Grupa Gamaredon wykorzystuje technikę znaną jako fast flux DNS, obejmującą częste zmiany adresy IP serwerów dowodzenia i kontroli (C&C). Ponadto grupa często rejestruje i aktualizuje wiele nowych domen. Wszystko po to, by utrudnić odpowiednim służbom ustalenie lokalizacji oraz zablokowanie działań grupy.
- Członkom Gamaredonu nie zależy na tym, aby jak najdłużej pozostać w ukryciu, nie stosują w tym celu nowoczesnych technik, można wręcz powiedzieć, że lubią, kiedy jest o nich głośno. To mocno odróżnia ich od innych grup APT, którym zazwyczaj zależy na tym, aby jak najdłużej pozostać niezauważonym. Gamaredon wkłada dużo wysiłku w to, żeby ich działania nie zostały udaremnione, jednak nie poprzez działanie w ukryciu. Jednocześnie jednak wkładają wiele wysiłku, aby uniknąć dokładnego namierzenia, co by prowadziło do zablokowania ich działań przez inne podmioty lub oprogramowanie - wyjaśnia Zoltán Rusnák, analityk ESET, który odkrył i przeanalizował opisywaną działalność grupy Gamaredon.
Cyberataki elementem wojny
Jak podkreślają przedstawiciele ESET, nie tyle wyrafinowane i kreatywne metody, a konsekwencja w działaniu jest najbardziej groźna w przypadku działań cyberprzestępców należących do Gamaredonu.
- Członkowie grupy za wszelką cenę starają się utrzymać dostępy do dokumentów czy dysków, które raz uzyskali. Tym samym intensyfikują i wielokrotnie powtarzają działania. Spodziewamy się, że grupa będzie nadal skoncentrowana na atakach na Ukrainę – dodaje.
Ataki spearphishingowe to jedynie część cyberszpiegowskich i cyberprzestępczych działań wymierzonych w Ukrainę. Przykładowo w połowie grudnia 2023 największe ukraińskie przedsiębiorstwo telekomunikacyjne Kyivstar padło ofiarą cyberataku, w efekcie którego około 24,3 mln abonentów straciło dostęp do usług telefonicznych i internetowych, a sklepy w całej Ukrainie nie były w stanie przetwarzać płatności kartami. W połowie lutego 2022 infrastruktura bankowa została poddana zmasowanym atakom DDoS, przez co przestały działać strony dwóch największych ukraińskich banków. Również w styczniu i lutym 2022 roku atak konwencjonalny ze strony Rosji został poprzedzony cyberatakami na strony internetowe rządu oraz innych instytucji. CERT-UA szacuje, że w całym 2023 r. przeprowadzono ponad 2000 prób cyberataków na Ukrainę.
Zoltán Rusnák podkreśla, że w najbliższych miesiącach możemy spodziewać się kolejnych ataków ze strony grupy Gamaredon na ukraińskie instytucje. W związku z tym wszystkie kraje sojusznicze powinny stale trzymać rękę na pulsie i utrzymywać najwyższe standardy cyberbezpieczeństwa w swoich kluczowych instytucjach.