Традиционно ассоциирующаяся с Россией хакерская группировка Gamaredon стала одной из наиболее изощренных и опасных в мире, заявило издание Wired. В списке самых вредоносных, но малоизвестных группировок оно отдало Gamaredon первое место. В материале Wired хакеров из этого объединения назвали «шпионами-перебежчиками, неустанно взламывающими Украину», а также сотрудниками ФСБ. «Лента.ру» разбиралась, чем занимаются Gamaredon и почему их связывают со спецслужбами.
В ESET уточняют, что основным инструментом в руках хакеров из Gamaredon стали фишинговые атаки, в ходе которых они массово рассылают потенциальным жертвам письма и сообщения с вредоносными вложениями. В дальнейшем с одного зараженного устройства вредоносы переходят на другие, нанося тем самым серьезный ущерб цели. Эта тактика, по оценкам опрошенных Wired специалистов, не меняется с 2013 года, когда и была основана группировка.
«Тем не менее, неустанно работая над этими простыми форматами взлома и ежедневно нацеливаясь практически на каждое украинское министерство и каждое военное ведомство, а также на украинских союзников в Восточной Европе, Gamaredon превратился в серьезного и часто недооцененного противника», — отмечают журналисты.
Как правило, хакеры начинают воровать чувствительные данные спустя всего полчаса после заражения. В ESET также пожаловались, что в некоторых случаях хакеры заражают одно и то же устройство сразу несколькими образцами вредоносного ПО. Эта оценка совпадает с более ранними отчетами Группы быстрого реагирования на компьютерные инциденты Украины (CERT-UA), находивших на пострадавших компьютерах от 80 до 120 видов различных вирусов спустя неделю после атаки. Их обнаружение дается экспертам с очень большим трудом.
В своей публикации журналисты Wired сначала прямо называют Gamaredon «группировкой хакеров из ФСБ», но затем добавляют к этой фразе слово «предположительно». При этом издание ссылается на отчет департамента кибербезопасности Службы безопасности Украины (СБУ), опубликованный еще в 2021 году. В нем ведомство утверждает, что группировка, тогда носившая еще и название Armagedon (другие распространенные варианты — Primitive Bear, UNC530, Actinium и Aqua Blizzard), провела более 5000 кибератак на госорганы и критическую инфраструктуру страны.
«Это сотрудники ФСБ Крыма (...). Хакерская группировка Armagedon — это спецпроект ФСБ, специально нацеленный на Украину. Это направление работы координируется 18-м Центром ФСБ, базирующимся в Москве», — заявляли украинские аналитики. Они также утверждали, что им удалось установить имена членов группировки, перехватить их сообщения и получить «неопровержимые доказательства» их причастности к атакам.
«Хотя информации о ранних днях Armageddon немного, судя по имеющимся данным, в первые годы своего существования члены группы полагались на легитимные, общедоступные программные продукты, которые в конечном итоге были заменены на специализированное вредоносное ПО Pteranodon», — отметили в СБУ.
Украинским киберспециалистам, по их словам, удалось установить тысячи командно-контрольных серверов, используемых членами группировки в своих атаках. Для их развертывания Gamaredon якобы пользовался услугами преимущественно российских операторов связи — в СБУ даже назвали конкретные компании. Однако более детальными сведениями, подтверждающими эту информацию, а также связями членов объединения с ФСБ, украинская разведка не поделилась.
Зато в 2021 году были названы имена пятерых предполагаемых «сотрудников» Gamaredon — они, по заявлениям украинской стороны, служили в севастопольском управлении ФСБ. Киев направил им подозрения в государственной измене. Кроме того, были опубликованы якобы перехваченные телефонные разговоры между двумя членами группировки: в них они обсуждали детали запланированных атак и жаловались на зарплаты в ФСБ.
В последних по времени публикации отчетах группировку называют «одной из ключевых киберугроз для киберпространства Украины», отмечая, что она несет ответственность за «наибольшее количество кибератак», направленных против Киева.
При этом в арсенале хакеров появились два варианта известного вредоносного ПО PowerShell, применяемого для извлечения файлов с определенными расширениями, кражи учетных данных и создания скриншотов экрана зараженного устройства.
«В 2023 году Gamaredon значительно улучшил свои возможности в части кибершпионажа и разработал несколько новых вариаций PowerShell, уделяя особое внимание краже ценных данных из почтовых клиентов, приложений для обмена мгновенными сообщениями, таких как Signal и Telegram, и веб-приложений, работающих внутри интернет-браузеров», — отметили в словацком подразделении ESET.
В CERT-UA рассказывали, что для получения первичного доступа к сети жертвы используются фишинговые письма, а само вредоносное содержимое маскируется под файлы архивов, названия которых так или иначе отсылают к боевым действиям на территории страны. При этом текст отправления мотивирует скорее распаковать архив и прочитать сообщение.
Например, в рамках последней кампании, начавшейся в ноябре 2024 года, сообщалось о важнейших перемещениях украинских войск, которых на самом деле не было. Открыть эти файлы могут только пользователи с украинскими IP-адресами, что исключает случайное заражение посторонних людей. Письма приходят с доменов, связанных с легитимными организациями, в том числе СБУ.
Один из относительно свежих векторов атак, по данным ESET, — аккаунты солдат Вооруженных сил Украины (ВСУ) в мессенджерах Telegram, WhatsApp и Signal. Взломав их, Gamaredon пытается получить данные о передвижениях войск и их логистике.
Наиболее популярными целями Gamaredon называются правительственные организации, объекты критической инфраструктуры, а также оборонные и правоохранительные органы. По данным CERT-UA, только в 2022 году на Украине зафиксировано более 70 инцидентов, связанных с этой группировкой, но за все время существования их сотни, если не тысячи.
«С октября 2021 года группировка атаковала учетные записи организаций, имеющих решающее значение для реагирования на чрезвычайные ситуации и обеспечения безопасности территории Украины, а также организаций, которые будут участвовать в координации распределения международной и гуманитарной помощи Украине в условиях кризиса», — отмечали аналитики The Microsoft Threat Intelligence Center.
Более того, Gamaredon, как утверждает Киев, также атакует союзников Украины, например Латвию. Эти данные подтвердили исследователи ESET, зафиксировавшие безуспешные попытки взлома объектов в нескольких странах НАТО — в Болгарии, той же Латвии, Литве и Польше. В одном из случаев, как утверждают исследователи Palo Alto Networks, жертвой должен был стать крупный нефтеперерабатывающий завод.
