Η Microsoft ανακοίνωσε ότι ένα Ρωσικό γκρουπ από hackers εν ονόματι Gamaredon, κρύβεται πίσω από μια phishing email εκστρατεία που στοχεύει ουκρανικές οντότητες και οργανισμούς.
Η συγκεκριμένη ομάδα hacking παρακολουθείται επίσης και με τά ονόματα Armageddon, Primitive Bear και ACTINIUM από τις υπηρεσίες ασφαλείας της Ουκρανίας (SSU) και τις μυστικές υπηρεσίες (SBU) σε συνδυασμό με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB). Στο Gamaredon προσάπτονται πολλές επιθέσεις προς την Ουκρανία από το 2013 ενώ το γκρουπ δραστηριοποιείται τουλάχιστον 10 έτη.
Δείτε ακόμα: FBI: Hackers εκμεταλλεύονται κρίσιμο Zoho zero-day bug
Ερευνητές ασφάλειας και απειλών του Microsoft Threat Intelligence Center (MSTIC) και της Microsoft Digital Security Unit (DSU) δήλωσαν ότι η εκστρατεία κυβερνοκατασκοπείας του Gamaredon συντονίζεται εκτός της περιοχής της Κριμαίας, επιβεβαιώνοντας την αρχική εκτίμηση της SSU ότι οι hackers είναι αξιωματικοί του FSB της Κριμαίας οι οποίοι τάχθηκαν στο πλευρό της Ρωσίας κατά την κατοχή του 2014.
Η Microsoft μέσω της MSTIC, έχει παρατηρήσει ότι το γκρουπ στοχεύει οργανισμούς στην Ουκρανία που συμπεριλαμβάνουν κυβερνητικές, στρατιωτικές, μη κυβερνητικές οργανώσεις (ΜΚΟ), δικαστικές αρχές, αρχές επιβολής του νόμου και μη κερδοσκοπικούς οργανισμούς, με πρωταρχικό σκοπό την άμεση απόκτηση ευαίσθητων πληροφοριών, τη διατήρηση της πρόσβασης και τη χρήση της αποκτηθείσας πρόσβασης για πλευρική μετακίνηση σε σχετικούς οργανισμούς. Από τον περασμένο Οκτώβρη, το Gamaredon παραβιάζει λογαριασμούς οργανισμών που είναι κρίσιμοι για την απόκριση έκτακτης ανάγκης και διασφαλίζουν την ασφάλεια της ουκρανικής επικράτειας όπως και οργανισμούς που θα συμμετείχαν στον συντονισμό της διεθνούς ανθρωπιστικής βοήθειας στην Ουκρανία σε περίπτωση που συμβεί κάποια εθνική κρίση. Παρ'όλα αυτά, το hacking group Gamaredon, δεν σχετίζεται καθόλου με τις επιθέσεις τον περασμένο μήνα που στόχευαν πολλές κυβερνητικές υπηρεσίες της Ουκρανίας με κακόβουλο λογισμικό το οποίο έσβηνε δεδομένα και ήταν μεταμφιεσμένο ως ransomware.
Δείτε ακόμα: Αυτό το πακέτο παρέχει όλες τις γνώσεις white hat hacking που θέλετε
Συμπληρωματικά, η Unit 42 της Palo Alto Networks εντόπισε πρόσφατη απόπειρα παραβίασης μιας δυτικής κυβερνητικής οντότητας στην Ουκρανία. Κατά την απόπειρα αυτή, αντί να στείλουν το πρόγραμμα απευθείας στον στόχο τους, χρησιμοποίησαν μια υπηρεσία αναζήτησης εργασίας και απασχόλησης εντός της Ουκρανίας. Αν αναλογιστούμε τα βήματα και την ακριβή παράδοση με την οποία λειτουργεί η εκστρατεία, φαίνεται να είναι μια σκόπιμη προσπάθεια του γκρουπ να παραβιάσει τον κυβερνητικό οργανισμό. Έκτοτε έχουν τονίσει πολλοί ερευνητές το γεγονός ότι οι κινήσεις του group ικανοποιούν Ρωσικά ενδιαφέροντα. Τις ίδιες τακτικές περιέγραψε η ομάδα Threat Hunter της Symantec, η οποία είδε το Gamaredon να διανέμει έγγραφα Word με μακροεντολές σε επιθέσεις ψαρέματος που ξεκίνησαν το καλοκαίρι του 2021. Οι υπηρεσίες ασφαλείας της Ουκρανίας (SSU), απέδωσαν την ηγεσία του γκρουπ σε πέντε αξιωματικούς της Ρωσικής Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) που είχαν τοποθετηθεί σε θέσεις στην Κριμαία.
Επιπρόσθετα, μία ημέρα αργότερα, η SSU ανέφερε ότι μπλόκαρε περισσότερες από 120 επιθέσεις, που είχαν ως στόχο τα συστήματα πληροφοριών κρατικών ιδρυμάτων στην Ουκρανία, συμπεριλαμβανομένων brute-force και malware attacks. Η Microsoft αξιολογεί ότι ο κύριος στόχος των δραστηριοτήτων του Gamaredon είναι η πρόσβαση σε δίκτυα με σκοπό την συλλογή πληροφοριών.
Ιδιαίτερα σημαντικό είναι το γεγονός ότι παρά τη φαινομενικά ευρεία ανάπτυξη κακόβουλων δυνατοτήτων στην περιοχή, οι επόμενες δραστηριότητες του γκρουπ πραγματοποιούνται σε περιοχές διακριτού ενδιαφέροντος. Κατά συνέπεια, υπάρχει και το ενδεχόμενο να αναθεωρηθεί η αξιολόγηση της κατάστασης από την Microsoft καθώς μπορεί να είναι διαφορετικοί οι στόχοι του hacking group.
Πηγή πληροφοριών: bleepingcomputer.com
