Традиционно ассоциирующаяся с Россией хакерская группировка Gamaredon стала одной из наиболее изощренных и опасных в мире, заявило издание Wired. В списке самых вредоносных, но малоизвестных группировок оно отдало Gamaredon первое место. В материале Wired хакеров из этого объединения назвали «шпионами-перебежчиками, неустанно взламывающими Украину», а также сотрудниками ФСБ. «Лента.ру» разбиралась, чем занимаются Gamaredon и почему их связывают со спецслужбами.
На сегодняшний день это самая активная прогосударственная хакерская группа, атакующая украинские организации. Их работа очень эффективна. Объем — их главное отличие, и именно это делает их опасными
В ESET уточняют, что основным инструментом в руках хакеров из Gamaredon стали фишинговые атаки, в ходе которых они массово рассылают потенциальным жертвам письма и сообщения с вредоносными вложениями. В дальнейшем с одного зараженного устройства вредоносы переходят на другие, нанося тем самым серьезный ущерб цели. Эта тактика, по оценкам опрошенных Wired специалистов, не меняется с 2013 года, когда и была основана группировка.
«Тем не менее, неустанно работая над этими простыми форматами взлома и ежедневно нацеливаясь практически на каждое украинское министерство и каждое военное ведомство, а также на украинских союзников в Восточной Европе, Gamaredon превратился в серьезного и часто недооцененного противника», — отмечают журналисты.
На Украине в очередной раз испугались «русских хакеров»
Фото: dikushin / Getty Images
Как правило, хакеры начинают воровать чувствительные данные спустя всего полчаса после заражения. В ESET также пожаловались, что в некоторых случаях хакеры заражают одно и то же устройство сразу несколькими образцами вредоносного ПО. Эта оценка совпадает с более ранними отчетами Группы быстрого реагирования на компьютерные инциденты Украины (CERT-UA), находивших на пострадавших компьютерах от 80 до 120 видов различных вирусов спустя неделю после атаки. Их обнаружение дается экспертам с очень большим трудом.
Это изнурительная работа. Люди получают передозировку и выгорают
Почему Gamaredon ассоциируют с ФСБ?
В своей публикации журналисты Wired сначала прямо называют Gamaredon «группировкой хакеров из ФСБ», но затем добавляют к этой фразе слово «предположительно». При этом издание ссылается на отчет департамента кибербезопасности Службы безопасности Украины (СБУ), опубликованный еще в 2021 году. В нем ведомство утверждает, что группировка, тогда носившая еще и название Armagedon (другие распространенные варианты — Primitive Bear, UNC530, Actinium и Aqua Blizzard), провела более 5000 кибератак на госорганы и критическую инфраструктуру страны.
«Это сотрудники ФСБ Крыма (...). Хакерская группировка Armagedon — это спецпроект ФСБ, специально нацеленный на Украину. Это направление работы координируется 18-м Центром ФСБ, базирующимся в Москве», — заявляли украинские аналитики. Они также утверждали, что им удалось установить имена членов группировки, перехватить их сообщения и получить «неопровержимые доказательства» их причастности к атакам.
В СБУ отметили, что члены группировки не стремятся использовать дерзкие и замысловатые технические приемы, что свойственно другим хакерам, которым приписывают сотрудничество с ФСБ. Более того, они даже не пытаются оставить незамеченным свое пребывание в инфраструктуре сколько-нибудь продолжительное время. Зато, по признанию украинской разведки, они отличаются «навязчивостью и дерзостью»
«Хотя информации о ранних днях Armageddon немного, судя по имеющимся данным, в первые годы своего существования члены группы полагались на легитимные, общедоступные программные продукты, которые в конечном итоге были заменены на специализированное вредоносное ПО Pteranodon», — отметили в СБУ.
В СБУ жалуются, что уже 12 лет страдают от россиян с хакерскими навыками
Фото: SGr / Shutterstock / Fotodom
Украинским киберспециалистам, по их словам, удалось установить тысячи командно-контрольных серверов, используемых членами группировки в своих атаках. Для их развертывания Gamaredon якобы пользовался услугами преимущественно российских операторов связи — в СБУ даже назвали конкретные компании. Однако более детальными сведениями, подтверждающими эту информацию, а также связями членов объединения с ФСБ, украинская разведка не поделилась.
Тяжелая работа — основа их деятельности. Эта группировка буквально выжимает из себя победу. Они просто неумолимы. И это само по себе может быть своего рода суперсилой
Зато в 2021 году были названы имена пятерых предполагаемых «сотрудников» Gamaredon — они, по заявлениям украинской стороны, служили в севастопольском управлении ФСБ. Киев направил им подозрения в государственной измене. Кроме того, были опубликованы якобы перехваченные телефонные разговоры между двумя членами группировки: в них они обсуждали детали запланированных атак и жаловались на зарплаты в ФСБ.
Как и кого атакует Gamaredon?
В последних по времени публикации отчетах группировку называют «одной из ключевых киберугроз для киберпространства Украины», отмечая, что она несет ответственность за «наибольшее количество кибератак», направленных против Киева.
При этом в арсенале хакеров появились два варианта известного вредоносного ПО PowerShell, применяемого для извлечения файлов с определенными расширениями, кражи учетных данных и создания скриншотов экрана зараженного устройства.
«В 2023 году Gamaredon значительно улучшил свои возможности в части кибершпионажа и разработал несколько новых вариаций PowerShell, уделяя особое внимание краже ценных данных из почтовых клиентов, приложений для обмена мгновенными сообщениями, таких как Signal и Telegram, и веб-приложений, работающих внутри интернет-браузеров», — отметили в словацком подразделении ESET.
Словацкое подразделение ESET проявляет особое рвение в деанонимизации российских хакеров
ESET. Фото: Fabrizio Bensch / Reuters
В CERT-UA рассказывали, что для получения первичного доступа к сети жертвы используются фишинговые письма, а само вредоносное содержимое маскируется под файлы архивов, названия которых так или иначе отсылают к боевым действиям на территории страны. При этом текст отправления мотивирует скорее распаковать архив и прочитать сообщение.
Например, в рамках последней кампании, начавшейся в ноябре 2024 года, сообщалось о важнейших перемещениях украинских войск, которых на самом деле не было. Открыть эти файлы могут только пользователи с украинскими IP-адресами, что исключает случайное заражение посторонних людей. Письма приходят с доменов, связанных с легитимными организациями, в том числе СБУ.
Один из относительно свежих векторов атак, по данным ESET, — аккаунты солдат Вооруженных сил Украины (ВСУ) в мессенджерах Telegram, WhatsApp и Signal. Взломав их, Gamaredon пытается получить данные о передвижениях войск и их логистике.
Не проходит и недели, чтобы мы не обнаружили новую массовую фишинговую кампанию по электронной почте с вредоносным ПО Gamaredon
Наиболее популярными целями Gamaredon называются правительственные организации, объекты критической инфраструктуры, а также оборонные и правоохранительные органы. По данным CERT-UA, только в 2022 году на Украине зафиксировано более 70 инцидентов, связанных с этой группировкой, но за все время существования их сотни, если не тысячи.
«С октября 2021 года группировка атаковала учетные записи организаций, имеющих решающее значение для реагирования на чрезвычайные ситуации и обеспечения безопасности территории Украины, а также организаций, которые будут участвовать в координации распределения международной и гуманитарной помощи Украине в условиях кризиса», — отмечали аналитики The Microsoft Threat Intelligence Center.
Более того, Gamaredon, как утверждает Киев, также атакует союзников Украины, например Латвию. Эти данные подтвердили исследователи ESET, зафиксировавшие безуспешные попытки взлома объектов в нескольких странах НАТО — в Болгарии, той же Латвии, Литве и Польше. В одном из случаев, как утверждают исследователи Palo Alto Networks, жертвой должен был стать крупный нефтеперерабатывающий завод.