Rosyjscy cyberprzestępcy związani z FSB atakują Ukrainę od października ubiegłego roku

Grupa znana jako jako Gamaredon (a także jako Armageddon, Primitive Bear i ACTINIUM) została zidentyfikowana przez ukraińskie służby bezpieczeństwa (SSU) i tajne (SBU) jako powiązana z rosyjską Federalną Służbą Bezpieczeństwa (FSB). Działa ona od co najmniej dekady i od 2013 roku stoi za tysiącami ataków na ukraińskie organizacje.

Badacze bezpieczeństwa i zagrożeń z Microsoft Threat Intelligence Center (MSTIC) i Microsoft Digital Security Unit (DSU) poinformowali, że kampania cyberszpiegowska koordynowana jest poza Krymem, co ma potwierdzać teorię ukraińskich służb bezpieczeństwa, że ci cyberprzestępcy pracują na rzecz FSB.

„MSTIC zaobserwował, że ACTINIUM atakuje podmioty na Ukrainie, obejmujące rząd, wojsko, organizacje pozarządowe, sądownictwo, organy ścigania i organizacje non-profit, ich głównym celem jest ujawnienie poufnych informacji, utrzymanie dostępu i wykorzystanie nabytego dostępu do przenoszenia danych do powiązanych organizacji” – ocenił zespół Microsoft.

„Od października 2021 r. ACTINIUM atakowało lub włamywało konta do organizacji krytycznych dla reagowania kryzysowego i zapewnienia bezpieczeństwa terytorium Ukrainy, a także organizacji, które byłyby zaangażowane w koordynację pomocy międzynarodowej i humanitarnej na Ukrainę w wypadku sytuacji kryzysowej” – stwierdzono również.

Gamaredon ma nie być jednak powiązany z atakami z zeszłego miesiąca, które uderzyły w wiele ukraińskich agencji rządowych i podmiotów. Cyberataki te, o których pisaliśmy na naszym portalu, realizowane były za pomocą szkodliwego oprogramowania do usuwania danych, podszywającego się pod ransomware.

Blokada 120 cyberataków tylko w styczniu

Natomiast, jak wynika z raportu zespołu Palo Alto Networks, dotyczącego niedawnej działalności tej grupy wymierzonej w Ukrainę, mowa jest o „próbie skompromitowania zachodniego podmiotu rządowego na Ukrainie 19 stycznia 2022 r.” poprzez atak typu spear-phishing, który uruchamia narzędzie do pobierania złośliwego oprogramowania.

„Biorąc pod uwagę kroki i precyzję wykonania zaangażowaną w tę kampanię, wydaje się, że mogła to być konkretna, celowa próba ze strony Gamaredon, aby skompromitować zachodnią organizację rządową”.

Ta sama taktyka została opisana przez zespół Symanteca Threat Hunter, który zauważył, że Gamaredon rozpowszechniał dokumenty Worda z makrami w atakach typu spear-phishing, które rozpoczęły się w lipcu 2021 roku.

Raporty te potwierdzają zalecenie opublikowane przez Ukraiński Zespół Reagowania na Awarie Komputerowe, ostrzegające przed atakami na władze ukraińskie.

Ukraińskie służby bezpieczeństwa poinformowały, że zablokowały ponad 120 cyberataków wymierzonych w systemy informatyczne instytucji państwowych na Ukrainie. „MSTIC ocenia, że głównym rezultatem działań ACTINIUM jest stały dostęp do sieci o określonej wartości, by gromadzić dane wywiadowcze” — ogłosił Microsoft.

/NB

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.