Skupina má údajne väzby na ruskú tajnú službu.
Ruskí hekeri z APT skupiny Gamaredon zásobujú proruskú domobranu a polovojenské skupiny bojujúce na Donbase cennými informáciami o národnej bezpečnosti Ukrajiny. Vyplýva to zo správy výskumného tímu spoločnosti SentinelOne, ktorá minulý rok zaznamenala sériu kyberútokov proti miestnym vojenským a obranným inštitúciám.
Podľa vedúceho pracovníka tímu Vitaliho Kremeza hekeri zhromažďujú strategické informácie o technike, vybavení, taktikách či personáli ukrajinskej armády. Tie majú následne pomôcť navýšiť vojenskú pripravenosť separatistov na východe Ukrajiny a poslúžiť ruským tajným službám pri vplyvových operáciách a politických kampaniach.
„Gamaredon je ukážkový príklad toho, ako kybernetický priestor, piata operačná doména, umožňuje militantom pokračovať v bojoch, aj keď sú ostatné domény odmietnuté zo strategických a politických dôvodov. Slúži to ako solídna náhrada v prípade, že sú kinetické útoky príliš nákladné alebo nebezpečné,“ skonštatoval Kremez.
Kybernetické útoky zasiahli v minulom roku viac ako päťtisíc subjektov po celej Ukrajine, vrátane Národnej akadémie pozemných síl v Ľvove a Staryči neďaleko poľsko-ukrajinskej hranice. Hekeri pri nich využívali primárne techniky sociálneho inžinierstva na distribúciu infikovaných Word a Excel dokumentov. Zaujímavosťou je, že jeden z komponentov malvéru bol podpísaný podvrhnutým certifikátom služby Microsoft Time-Stamp Service.
Zaznamenané útoky. Zdroj: SentinelOne
Operácie pod falošnou vlajkou a väzby na FSB
Na aktivity skupiny Gamaredon na Ukrajine upozorňovala už v apríli minulého roku talianska kyberbezpečnostná spoločnosť Yoroi. Útočníci vtedy rozosielali vojenským predstaviteľom podvrhnuté textové dokumenty o stave ukrajinských ozbrojených síl. V skutočnosti však išlo o samorozbaľovacie archívy, ktoré obsahovali malvér Pteranodon. Rovnako ako dnes, aj v tomto prípade boli komponenty malvéru podpísané falošným certifikátom od Oracle Corporation.
Pri niektorých z týchto minuloročných útokov sa hekeri podľa firmy Recorded Future dokonca vydávali za iránske hekerské skupiny. Jej pracovníci totiž odhalili podobné techniky, taktiky a postupy a rovnakú infraštruktúru, akú používa iránske trio Elfin Team (APT33), Charming Kitten (APT35) a MuddyWater.
Aktivity Gamaredon pritom siahajú minimálne do roku 2013. Podľa LookingGlass Cyber skupina operuje v prospech ruskej vlády a útočí výhradne na ukrajinské ciele. Jej koordinátorom má byť 16. a 18. divízia ruskej Federálnej bezpečnostnej služby.
(VK)