Hackerská skupina Gamaredon podporovaná ruským státem výrazně vylepšila své špionážní schopnosti a rozšířila své operace za hranice Ukrajiny do zemí NATO. Bezpečnostní výzkumníci společnosti ESET nyní zveřejnili detailní poznatky o aktivitách této skupiny, které odhalují nové nástroje i cíle útoků.
Tichá hrozba z Krymu
Gamaredon, skupina aktivní minimálně od roku 2013, se postupně vypracovala na nejaktivnějšího digitálního protivníka Ukrajiny. Podle informací Služby bezpečnosti Ukrajiny (SSU) operuje skupina z okupovaného Krymu a je napojena na 18. centrum informační bezpečnosti ruské FSB. Zatímco jejich hlavním cílem zůstávají ukrajinské vládní instituce, výzkum ESETu odhalil, že skupina se pokusila proniknout i do systémů několika zemí NATO, konkrétně Bulharska, Lotyšska, Litvy a Polska. Česko se prý zatím terčem útoku nestalo.
„APT skupinu Gamaredon sledujeme dlouhodobě. Jedná se o útočníky, kteří nevyužívají sofistikované nástroje, byť patří mezi státem podporované skupiny, které k tomu mají finanční prostředky,“ vysvětluje Robert Šuman, vedoucí pražské výzkumné pobočky společnosti ESET.
Nový arzenál nástrojů pro krádež dat
V průběhu roku 2023 Gamaredon výrazně posílil své kybernetické špionážní schopnosti. Skupina vyvinula několik nových nástrojů založených na PowerShellu, které jsou určeny k získávání citlivých dat z e-mailových klientů a populárních komunikačních aplikací jako Signal nebo Telegram. Významným objevem výzkumníků ESETu je PteroBleed, specializovaný infostealer cílící na ukrajinské vojenské systémy a vládní webmailové služby.
Co činí Gamaredon zvláště zajímavým, je jejich nekonvenční přístup ke kybernetickým operacím. Na rozdíl od většiny státem podporovaných APT skupin, které se snaží zůstat v utajení, Gamaredon volí agresivnější strategii.
„Útočníci ze skupiny Gamaredon se na rozdíl od většiny APT skupin nesnaží být nenápadní a zůstat při kyberšpionáži co nejdéle skrytí díky využívání nových technik,“ říká Šuman. „Operátoři z této skupiny jsou spíše bezohlední a nevadí jim, že je obránci systémů během jejich aktivit objeví. Přesto ale vynakládají velké úsilí na to, aby se vyhnuli blokování bezpečnostními řešeními.“
Hrubá síla místo sofistikovanosti
Jak padlo výše, přes státní podporu zůstává sada nástrojů skupiny Gamaredon relativně jednoduchá. Tento nedostatek však kompenzují vytrvalostí a agresivní taktikou. Skupina si udržuje přístup k napadeným systémům nasazením více jednoduchých downloaderů a backdoorů současně. Pravidelně aktualizují své nástroje a používají rychle se měnící techniky obfuskace, aby se vyhnuli detekci.
Jejich typickým vstupním vektorem jsou spearphishingové kampaně a vlastní malware. Skupina také vyvinula metody pro infikování dokumentů Wordu a USB disků patřících původním obětem, spoléhajíc na to, že budou sdíleny s dalšími uživateli.
Přestože pokusy Gamaredonu o průnik do cílů v zemích NATO v dubnu 2022 a únoru 2023 nebyly úspěšné, jejich zájem o tyto regiony signalizuje potenciálně znepokojivý posun v ruských kybernetických operacích. Spolupráce skupiny s další ruskou APT skupinou InvisiMole naznačuje koordinovanější přístup ke kybernetické špionáži za hranicemi Ukrajiny.
S pokračujícím konfliktem na Ukrajině očekávají kybernetičtí experti, že Gamaredon bude udržovat svůj agresivní postoj. „Vzhledem k probíhající válce na Ukrajině očekáváme, že se skupina Gamaredon bude na tento region zaměřovat i nadále,“ uzavírá Šuman.
Zdroj: TZ ESET