A ESET examinou as operações do Gamaredon, um grupo APT (Ameaça Persistente Avançada) alinhado com a Rússia que está ativo desde pelo menos 2013 e é atualmente o grupo APT mais envolvido na Ucrânia.
O Gamaredon foi atribuído pelo SSU (Serviço de Segurança da Ucrânia) ao 18º CIB (Centro de Segurança da Informação) do FSB (Serviço Federal de Segurança da Federação Russa), que opera a partir da Crimeia ocupada.
A ESET acredita que este grupo está a colaborar com outro grupo cibercriminoso que a ESET descobriu e identificou como InvisiMole.
A maioria dos ataques de ciberespionagem do Gamaredon são dirigidos contra instituições governamentais ucranianas.
No entanto, em abril de 2022 e fevereiro de 2023, a ESET também observou algumas tentativas de comprometer alvos em vários países da NATO, nomeadamente a Bulgária, Letónia, Lituânia e Polónia, mas não foram observados ataques bem-sucedidos.
O Gamaredon utiliza truques de ofuscação em constante mudança e numerosas técnicas para contornar o bloqueio baseado no domínio
Estas táticas representam um desafio significativo para os esforços de rastreamento, pois tornam mais difícil para os sistemas detetar e bloquear automaticamente as ferramentas do grupo.
No entanto, durante a investigação da ESET, os seus investigadores conseguiram identificar e compreender estas táticas e acompanharam as atividades do Gamaredon.
O grupo tem implantado metodicamente as suas ferramentas maliciosas contra seus alvos desde muito antes do início da invasão de 2022.
Para comprometer novas vítimas, o Gamaredon realiza campanhas de spearphishing e, em seguida, usa o seu malware personalizado para transformar em armas documentos Word e unidades USB acessíveis à vítima inicial, esperando que sejam compartilhados com outras vítimas potenciais.
Durante 2023, o Gamaredon melhorou notavelmente as suas capacidades de ciberespionagem e desenvolveu várias novas ferramentas em PowerShell, com o objetivo de roubar dados valiosos – de clientes de email, aplicações de mensagens instantâneas como o Signal e o Telegram, e aplicações web a correr em browsers.
No entanto, o PteroBleed, um infostealer descoberto pela ESET em agosto de 2023, também se concentra no roubo de dados relacionados com um sistema militar ucraniano – e do serviço de webmail utilizado por uma instituição governamental ucraniana.
“O Gamaredon, ao contrário da maioria dos grupos APT, não tenta ser furtivo e permanecer oculto o maior tempo possível, utilizando novas técnicas durante a realização de operações de ciberespionagem: os operadores são imprudentes e não se importam de serem descobertos pelos defensores durante as suas atividades.
Apesar de não se importarem tanto com o facto de serem discretos, fazem um grande esforço para evitar serem bloqueados por produtos de segurança e esforçam-se muito para manter o acesso aos sistemas comprometidos”, explica o investigador da ESET Zoltán Rusnák, que investigou o Gamaredon.
“Normalmente, o Gamaredon tenta preservar o seu acesso através da implementação simultânea de vários downloaders ou backdoors simples. A falta de sofisticação das ferramentas do Gamaredon é compensada por atualizações frequentes e pela utilização de ofuscação que muda regularmente”, acrescenta Rusnák.
“Apesar da relativa simplicidade das suas ferramentas, a abordagem agressiva e a persistência do Gamaredon fazem dele uma ameaça significativa. Dada a guerra em curso na região, prevemos que o Gamaredon continue a concentrar-se na Ucrânia”, conclui.
Para uma análise mais detalhada e técnica das ferramentas e atividades do Gamaredon, consulte o mais recente whitepaper da ESET aqui.
Add comment