Традиционно ассоциирующаяся с Россией хакерская группировка Gamaredon стала одной из наиболее изощренных и опасных в мире, Украину», а также сотрудниками ФСБ. «Лента.ру» разбиралась, чем занимаются Gamaredon и почему их связывают со спецслужбами. На сегодняшний день это самая активная прогосударственная хакерская группа, атакующая украинские организации.
Их работа очень эффективна. Объем — их главное отличие, и именно это делает их опасными Роберт Липовски исследователь кибербезопасности в компании ESET В ESET уточняют, что основным инструментом в руках хакеров из Gamaredon стали фишинговые атаки, в ходе которых они массово рассылают потенциальным жертвам письма и сообщения с вредоносными вложениями. В дальнейшем с одного зараженного устройства вредоносы переходят на другие, нанося тем самым серьезный ущерб цели. Эта тактика, по оценкам опрошенных Wired специалистов, не меняется с 2013 года, когда и была основана группировка. «Тем не менее, неустанно работая над этими простыми форматами взлома и ежедневно нацеливаясь практически на каждое украинское министерство и каждое военное ведомство, а также на украинских союзников в Восточной Европе, Gamaredon превратился в серьезного и часто недооцененного противника», — отмечают журналисты. Как правило, хакеры начинают воровать чувствительные данные спустя всего полчаса после заражения. В ESET также пожаловались, что в некоторых случаях хакеры заражают одно и то же устройство сразу несколькими образцами вредоносного ПО. Эта оценка совпадает с более ранними отчетами Группы быстрого реагирования на компьютерные инциденты Украины (CERT-UA), находивших на пострадавших компьютерах от 80 до 120 видов различных вирусов спустя неделю после атаки. Их обнаружение дается экспертам с очень большим трудом. Это изнурительная работа. Люди получают передозировку и выгорают Антон Черепанов исследователь вредоносных программ ESET Почему Gamaredon ассоциируют с ФСБ? В своей публикации журналисты Wired сначала прямо называют Gamaredon «группировкой хакеров из ФСБ», но затем добавляют к этой фразе слово «предположительно». При этом издание ссылается на отчет департамента кибербезопасности Службы безопасности Украины (СБУ), опубликованный еще в 2021 году. В нем ведомство утверждает, что группировка, тогда носившая еще и название Armagedon (другие распространенные варианты — Primitive Bear, UNC530, Actinium и Aqua Blizzard), провела более 5000 кибератак на госорганы и критическую инфраструктуру страны. «Это сотрудники ФСБ Крыма (…). Хакерская группировка Armagedon — это спецпроект ФСБ, специально нацеленный на Украину. Это направление работы координируется 18-м Центром ФСБ, базирующимся в Москве», — заявляли украинские аналитики. Они также утверждали, что им удалось установить имена членов группировки, перехватить их сообщения и получить «неопровержимые доказательства» их причастности к атакам. В СБУ отметили, что члены группировки не стремятся использовать дерзкие и замысловатые технические приемы, что свойственно другим хакерам, которым приписывают сотрудничество с ФСБ. Более того, они даже не пытаются оставить незамеченным свое пребывание в инфраструктуре сколько-нибудь продолжительное время. Зато, по признанию украинской разведки, они отличаются «навязчивостью и дерзостью» «Хотя информации о ранних днях Armageddon немного, судя по имеющимся данным, в первые годы своего существования члены группы полагались на легитимные, общедоступные программные продукты, которые в конечном итоге были заменены на специализированное вредоносное ПО Pteranodon», — отметили в СБУ. Украинским киберспециалистам, по их словам, удалось установить тысячи командно-контрольных серверов, используемых членами группировки в своих атаках. Для их развертывания Gamaredon якобы пользовался услугами преимущественно российских операторов связи — в СБУ даже назвали конкретные компании. Однако более детальными сведениями, подтверждающими эту информацию, а также связями членов объединения с ФСБ, украинская разведка не поделилась. Тяжелая работа — основа их деятельности. Эта группировка буквально выжимает из себя победу. Они просто неумолимы. И это само по себе может быть своего рода суперсилой Джон Халтквист главный аналитик Threat Intelligence Group компании Google Зато в 2021 году были названы имена пятерых предполагаемых «сотрудников» Gamaredon — они, по заявлениям украинской стороны, служили в севастопольском управлении ФСБ. Киев направил им подозрения в государственной измене. Кроме того, были опубликованы якобы перехваченные телефонные разговоры между двумя членами группировки: в них они обсуждали детали запланированных атак и жаловались на зарплаты в ФСБ. Как и кого атакует Gamaredon? В последних по времени публикации отчетах группировку называют «одной из ключевых киберугроз для киберпространства Украины», отмечая, что она несет ответственность за «наибольшее количество кибератак», направленных против Киева. При этом в арсенале хакеров появились два варианта известного вредоносного ПО PowerShell, применяемого для извлечения файлов с определенными расширениями, кражи учетных данных и создания скриншотов экрана зараженного устройства. «В 2023 году Gamaredon значительно улучшил свои возможности в части кибершпионажа и разработал несколько новых вариаций PowerShell, уделяя особое внимание краже ценных данных из почтовых клиентов, приложений для обмена мгновенными сообщениями, таких как Signal и Telegram, и веб-приложений, работающих внутри интернет-браузеров», — отметили в словацком подразделении ESET. В CERT-UA рассказывали, что для получения первичного доступа к сети жертвы используются фишинговые письма, а само вредоносное содержимое маскируется под файлы архивов, названия которых так или иначе отсылают к боевым действиям на территории страны. При этом текст отправления мотивирует скорее распаковать архив и прочитать сообщение. Например, в рамках последней кампании, начавшейся в ноябре 2024 года, сообщалось о важнейших перемещениях украинских войск, которых на самом деле не было. Открыть эти файлы могут только пользователи с украинскими IP-адресами, что исключает случайное заражение посторонних людей. Письма приходят с доменов, связанных с легитимными организациями, в том числе СБУ. Один из относительно свежих векторов атак, по данным ESET, — аккаунты солдат Вооруженных сил Украины (ВСУ) в мессенджерах Telegram, WhatsApp и Signal. Взломав их, Gamaredon пытается получить данные о передвижениях войск и их логистике. Не проходит и недели, чтобы мы не обнаружили новую массовую фишинговую кампанию по электронной почте с вредоносным ПО Gamaredon представитель CERT-UA Наиболее популярными целями Gamaredon называются правительственные организации, объекты критической инфраструктуры, а также оборонные и правоохранительные органы. По данным CERT-UA, только в 2022 году на Украине зафиксировано более 70 инцидентов, связанных с этой группировкой, но за все время существования их сотни, если не тысячи. «С октября 2021 года группировка атаковала учетные записи организаций, имеющих решающее значение для реагирования на чрезвычайные ситуации и обеспечения безопасности территории Украины, а также организаций, которые будут участвовать в координации распределения международной и гуманитарной помощи Украине в условиях кризиса», — отмечали аналитики The Microsoft Threat Intelligence Center. Более того, Gamaredon, как утверждает Киев, также атакует союзников Украины, например Латвию. Эти данные подтвердили исследователи ESET, НАТО — в Болгарии, той же Латвии, Литве и Польше. В одном из случаев, как утверждают исследователи Palo Alto Networks, жертвой должен был стать крупный нефтеперерабатывающий завод.
Свежие комментарии