Фото: Михаил Руденко / Getty Images
Традиционно ассоциирующаяся с Россией хакерская группировка Gamaredon стала одной из наиболее изощренных и опасных в мире, заявило издание Wired. В списке самых вредоносных, но малоизвестных группировок оно отдало Gamaredon первое место. В материале Wired хакеров из этого объединения назвали «шпионами-перебежчиками, неустанно взламывающими Украину», а также сотрудниками ФСБ. «Лента.ру» разбиралась, чем занимаются Gamaredon и почему их связывают со спецслужбами.
На сегодняшний день это самая активная прогосударственная хакерская группа, атакующая украинские организации. Их работа очень эффективна. Объем — их главное отличие, и именно это делает их опасными
Роберт Липовскиисследователь кибербезопасности в компании ESET
В ESET уточняют, что основным инструментом в руках хакеров из Gamaredon стали фишинговые атаки, в ходе которых они массово рассылают потенциальным жертвам письма и сообщения с вредоносными вложениями. В дальнейшем с одного зараженного устройства вредоносы переходят на другие, нанося тем самым серьезный ущерб цели. Эта тактика, по оценкам опрошенных Wired специалистов, не меняется с 2013 года, когда и была основана группировка.
«Тем не менее, неустанно работая над этими простыми форматами взлома и ежедневно нацеливаясь практически на каждое украинское министерство и каждое военное ведомство, а также на украинских союзников в Восточной Европе, Gamaredon превратился в серьезного и часто недооцененного противника», — отмечают журналисты.
На Украине в очередной раз испугались «русских хакеров»
Фото: dikushin / Getty Images
Как правило, хакеры начинают воровать чувствительные данные спустя всего полчаса после заражения. В ESET также пожаловались, что в некоторых случаях хакеры заражают одно и то же устройство сразу несколькими образцами вредоносного ПО. Эта оценка совпадает с более ранними отчетами Группы быстрого реагирования на компьютерные инциденты Украины (CERT-UA), находивших на пострадавших компьютерах от 80 до 120 видов различных вирусов спустя неделю после атаки. Их обнаружение дается экспертам с очень большим трудом.
Это изнурительная работа. Люди получают передозировку и выгорают
Антон Черепановисследователь вредоносных программ ESETПочему Gamaredon ассоциируют с ФСБ?
В своей публикации журналисты Wired сначала прямо называют Gamaredon «группировкой хакеров из ФСБ», но затем добавляют к этой фразе слово «предположительно». При этом издание ссылается на отчет департамента кибербезопасности Службы безопасности Украины (СБУ), опубликованный еще в 2021 году. В нем ведомство утверждает, что группировка, тогда носившая еще и название Armagedon (другие распространенные варианты — Primitive Bear, UNC530, Actinium и Aqua Blizzard), провела более 5000 кибератак на госорганы и критическую инфраструктуру страны.
Материалы по теме:
«Русские хакеры» действительно существуют.Откуда они появились, как стали звездами и почему их боится Запад?20 августа 2021
Могущественные хакеры из Рязани 25 лет крали секретные документы США.Почему в Америке уверены, что за ними стоит ФСБ?28 мая 2023
ФБР назвало россиянина из Воронежа лидером одной из главных хакерских группировок.Как ему удается оставаться на свободе?28 июля 2024
«Это сотрудники ФСБ Крыма (…). Хакерская группировка Armagedon — это спецпроект ФСБ, специально нацеленный на Украину. Это направление работы координируется 18-м Центром ФСБ, базирующимся в Москве», — заявляли украинские аналитики. Они также утверждали, что им удалось установить имена членов группировки, перехватить их сообщения и получить «неопровержимые доказательства» их причастности к атакам.
В СБУ отметили, что члены группировки не стремятся использовать дерзкие и замысловатые технические приемы, что свойственно другим хакерам, которым приписывают сотрудничество с ФСБ. Более того, они даже не пытаются оставить незамеченным свое пребывание в инфраструктуре сколько-нибудь продолжительное время. Зато, по признанию украинской разведки, они отличаются «навязчивостью и дерзостью»
«Хотя информации о ранних днях Armageddon немного, судя по имеющимся данным, в первые годы своего существования члены группы полагались на легитимные, общедоступные программные продукты, которые в конечном итоге были заменены на специализированное вредоносное ПО Pteranodon», — отметили в СБУ.
В СБУ жалуются, что уже 12 лет страдают от россиян с хакерскими навыками
Фото: SGr / Shutterstock / Fotodom
Украинским киберспециалистам, по их словам, удалось установить тысячи командно-контрольных серверов, используемых членами группировки в своих атаках. Для их развертывания Gamaredon якобы пользовался услугами преимущественно российских операторов связи — в СБУ даже назвали конкретные компании. Однако более детальными сведениями, подтверждающими эту информацию, а также связями членов объединения с ФСБ, украинская разведка не поделилась.
Тяжелая работа — основа их деятельности. Эта группировка буквально выжимает из себя победу. Они просто неумолимы. И это само по себе может быть своего рода суперсилой
Джон Халтквистглавный аналитик Threat Intelligence Group компании Google
Зато в 2021 году были названы имена пятерых предполагаемых «сотрудников» Gamaredon — они, по заявлениям украинской стороны, служили в севастопольском управлении ФСБ. Киев направил им подозрения в государственной измене. Кроме того, были опубликованы якобы перехваченные телефонные разговоры между двумя членами группировки: в них они обсуждали детали запланированных атак и жаловались на зарплаты в ФСБ.
Как и кого атакует Gamaredon?
В последних по времени публикации отчетах группировку называют «одной из ключевых киберугроз для киберпространства Украины», отмечая, что она несет ответственность за «наибольшее количество кибератак», направленных против Киева.
При этом в арсенале хакеров появились два варианта известного вредоносного ПО PowerShell, применяемого для извлечения файлов с определенными расширениями, кражи учетных данных и создания скриншотов экрана зараженного устройства.
«В 2023 году Gamaredon значительно улучшил свои возможности в части кибершпионажа и разработал несколько новых вариаций PowerShell, уделяя особое внимание краже ценных данных из почтовых клиентов, приложений для обмена мгновенными сообщениями, таких как Signal и Telegram, и веб-приложений, работающих внутри интернет-браузеров», — отметили в словацком подразделении ESET.
Словацкое подразделение ESET проявляет особое рвение в деанонимизации российских хакеров
ESET. Фото: Fabrizio Bensch / Reuters
В CERT-UA рассказывали, что для получения первичного доступа к сети жертвы используются фишинговые письма, а само вредоносное содержимое маскируется под файлы архивов, названия которых так или иначе отсылают к боевым действиям на территории страны. При этом текст отправления мотивирует скорее распаковать архив и прочитать сообщение.
Например, в рамках последней кампании, начавшейся в ноябре 2024 года, сообщалось о важнейших перемещениях украинских войск, которых на самом деле не было. Открыть эти файлы могут только пользователи с украинскими IP-адресами, что исключает случайное заражение посторонних людей. Письма приходят с доменов, связанных с легитимными организациями, в том числе СБУ.
Один из относительно свежих векторов атак, по данным ESET, — аккаунты солдат Вооруженных сил Украины (ВСУ) в мессенджерах Telegram, WhatsApp и Signal. Взломав их, Gamaredon пытается получить данные о передвижениях войск и их логистике.
Не проходит и недели, чтобы мы не обнаружили новую массовую фишинговую кампанию по электронной почте с вредоносным ПО Gamaredon
представитель CERT-UA
Наиболее популярными целями Gamaredon называются правительственные организации, объекты критической инфраструктуры, а также оборонные и правоохранительные органы. По данным CERT-UA, только в 2022 году на Украине зафиксировано более 70 инцидентов, связанных с этой группировкой, но за все время существования их сотни, если не тысячи.
«С октября 2021 года группировка атаковала учетные записи организаций, имеющих решающее значение для реагирования на чрезвычайные ситуации и обеспечения безопасности территории Украины, а также организаций, которые будут участвовать в координации распределения международной и гуманитарной помощи Украине в условиях кризиса», — отмечали аналитики The Microsoft Threat Intelligence Center.
Более того, Gamaredon, как утверждает Киев, также атакует союзников Украины, например Латвию. Эти данные подтвердили исследователи ESET, зафиксировавшие безуспешные попытки взлома объектов в нескольких странах НАТО — в Болгарии, той же Латвии, Литве и Польше. В одном из случаев, как утверждают исследователи Palo Alto Networks, жертвой должен был стать крупный нефтеперерабатывающий завод.
Источник: Lenta.ru
