Armagedon
Pozdravljeni v torkovem tehnološkem BritOFF-u. Tokrat bo govora o hekerski skupini Gamaredon, ki naj bi bila povezana z rusko Zvezno varnostno službo, krajše FSB. Raziskovalci pri Symantecu, podružnici firme Broadcom, so odkrili osem novih paketov zlo-namerne programske opreme, ki jih je skupina Gamaredon uporabljala v lanskih napadih na neimenovano ukrajinsko podjetje. Tudi sicer so zadnje čase tarče Gamaredona iz te države. Ukrajinska varnostna služba SSU je tako novembra razkrila domnevne identitete petih uslužbencev FSB-ja na polotoku Krim, ki naj bi bili vpleteni v delovanje skupine, ta pa naj bi bila odgovorna za več kot pet tisoč kibernetskih napadov proti ukrajinskim državnim organom. Identitete je varnostna služba pridobila s prisluškovanjem pogovorom med osumljenci.
Gamaredon naj bi nastal v letu 2013, ko je skupina uporabljala še izposojena orodja, sčasoma pa so razvili svojo programsko opremo, imenovano Pterodon. To na ciljne računalnike večinoma naložijo s standardnimi postopki, kot so ribarska elektronska pošta in druge oblike socialnega inženiringa. V enem od primerov naj bi po poročanju oddelka za kibernetsko varnost pri podjetju Cisco svojo opremo zapakirali kar v datoteko za inštalacijo programa Zoom. Večina analiz tako delovanje skupine označuje za napredno vztrajno grožnjo, kar pomeni, da napadalci uporabljajo sofisticirano opremo za dosego specifičnih ciljev, v nasprotju s priložnostnim iskanjem ranljivosti, kot je v navadi pri napadih z izsiljevalsko opremo.
Gamaredon med hekerskimi skupinami izstopa predvsem po tem, da njegovih članov ne skrbi pretirano, ali bodo njihovi vdori odkriti, temveč se osredotočajo na število doseženih tarč. Pri tem sicer pazijo, da koda ne okuži določenih naprav, bodisi iz političnih razlogov, če gre dejansko za skupino pod nadzorom neke države, bodisi zaradi praktičnih. Nekateri strežniki so namreč namensko postavljeni za preusmerjanje povezav, običajno z namenom lovljenja botov, v praksi pa preusmeritev onemogoči povezavo z želenim IP-naslovom. Programi Gamaredona se takšnim strežnikom izognejo s pomočjo seznama več kot tisoč štiristo prepovedanih IP-naslovov, od katerih se jih največ nahaja prav v Rusiji. Prav tako je veliko strežniške infrastrukture, ki jo skupina uporablja v svoj prid. Po kliku na okuženo elektronsko sporočilo ali tekstovno datoteko se namreč na računalniku zažene skripta, ki jo heker upravlja preko povezave s strežnikom command and control. Teh naj bi skupina obvladovala več kot šeststo.
Eden od indicev, da gre za eksplicitno proti-ukrajinsko dejavnost, naj bi bila pogostost ribarskih sporočil v ruskem jeziku. Pri enem od primerov naj bi šlo za »klic na pomoč« osebe, čigar bližnjega sorodnika s Krima naj bi zaradi »teroristične aktivnosti« aretiral FSB. Prav tako so se ukrajinski obveščevalci v svojem poročilu o Gamaredonu obregnili ob kletvice, ki naj bi jih skupina uporabljala v kodi. Čeprav ni mogoče z gotovostjo trditi, da je Gamaredon operacija ruskih varnostnih služb, je dejstvo, da se tudi v Ukrajini zadnje leto soočajo s povečanim številom kibernetskih napadov. Pred dvema tednoma se je tako zgodil večurni izpad sedemdesetih vladnih spletnih strani.
Dodaj komentar
Komentiraj