Ukrainska myndigheter har slagit larm om att Ryssland kan komma att genomföra storskaliga cyberattacker idag 24 februari, i samband med årsdagen av invasionen av Ukraina.
Säkerhetsleverantören Logpoint har granskat ”hacktivist”-gruppen Gamaredon som enligt ukrainska CERT aktivt förnyar sina attacker.
Fokus ligger inte längre på förstörelse, utan på spionage och informationsstöld.
Ryska cyberattacker mot Ukraina nästan tredubblades under förra året. Nu uttrycker den ukrainska försvarsministern Oleksii Reznikov oro över att Ryssland ska återuppta sin offensiv i samband med årsdagen för krigsutbrottet. Ukrainas nationella säkerhets- och försvarsråd har slagit larm om att Ryssland kan genomföra storskaliga cyberattacker som en del av Rysslands förnyade angrepp.
Ukrainska CERT har släppt rapporter som hävdar att den ryska hotaktören Gamaredon, även känd som UAC-0010, Primitive Bear, BlueAlpha, ACTINIUM och Trident Ursa aktivt förnyar sina attackinsatser. Gruppen ska enligt uppgift verka från Sevastopol på Krimhalvön och följa instruktioner från FSB (Ryska federationens federala säkerhetstjänst) i Moskva.
”Gamaredon har utfört flertalet cyberattacker mot Ukraina sedan den grundades i juni 2013, några månader innan Rysslands annektering av Krimhalvön. På sistone har vi sett betydande toppar i deras aktivitet och gruppen är fortfarande den mest aktiva, aggressiva och genomgripande APT:n,” säger Doron Davidson VP Global Services på Logpoint. ”Vi övervakar situationen mycket noggrant för att hålla oss uppdaterade om underrättelse- och försvarstekniker som kan reducera risken med Gamaredon.”
Enligt Ukrainas myndighet för informations- och kommunikationssäkerhet fokuserar Gamaredon mer på att stjäla information och på spionage än på förstörelse, och de använder i allt större utsträckning spionprogram som GammaLoad och GammaSteal. De här skadeprogramsvarianterna är skräddarsydda implantat som stjäl information och som kan exfiltrera specifika filändelser, stjäla användaruppgifter och ta skärmdumpar av offrets dator.
Logpoints granskning av GammaLoad och GammaSteal visar att skadeprogrammen levereras via riktade phishing-mejl från regeringsanställda som blivit hackade med skadliga HTML-filer, Office-dokument och länkar till phishing-sidor. Skadeprogrammen är designade för att attackera alla Windows, Linux och Androids operativsystem.
”Det är alltid viktigt att upptäcka en attack innan den får fäste i systemen”, säger Doron Davidson. ”Med Gamaredon och andra avancerade långvariga hot (APT), räcker det inte att följa praxis. Man behöver ha förmåga att effektivt upptäcka hot baserat på kända indikatorer på angrepp. För det krävs aktiv övervakning och incidenthanteringplaner.”