Mimo że wojna na Ukrainie trwa już prawie rok, badacze cyberbezpieczeństwa zaobserwowali nowe podmioty pojawiające się na scenie. I choć postrzegają ich działania jako technicznie niewyrafinowane, to jednak warte są one analizy. Decyduje o tym model, w jakim działają, często oferując swoje oprogramowanie jako produkt do przestępczej cyberaktywności.
Omówimy dzisiaj dwie grupy, których działalność albo się zaczęła, albo wyjątkowo wzmogła po 24 lutego zeszłego roku.
NoName057(16)
NoName057(16) to grupa cyberprzestępcza znana również jako NoName05716, 05716nnm lub Nnm05716, która wyraźnie wspiera rosyjską inwazję od marca 2022 roku, przypuszczając destrukcyjne ataki na rządy i organizacje zajmujące się infrastrukturą krytyczną. Aktywnie przeprowadza rozproszone ataki typu „odmowa usługi” (DDoS) na organizacje w Ukrainie, a także krajach NATO.
Do tej pory grupa przeprowadziła ataki DDoS na organizacje rządowe, wojskowe, telekomunikacyjne i transportowe, jak również agencje medialne, dostawców i instytucje finansowe w Ukrainie, Czechach, Danii, Estonii, Litwie, Norwegii i Polsce.
Według SentinelOne grupa początkowo koncentrowała się na ukraińskich serwisach informacyjnych, ale później przeniosła uwagę na cele związane z NATO.
NoName057(16) używa kanału Telegram, aby przypisywać sobie odpowiedzialność za zakłócenia, usprawiedliwiać swoje działania, grozić i kpić z celów. Grupa, jak mówi SentinelOne, „ceni sobie rozpoznawalność, jaką osiągają ich ataki, stymulując ją poprzez publikacje online”.
Badacze zaobserwowali, że grupa wykorzystywała GitHub do hostowania narzędzi reklamowanych na swoim kanale Telegram, w tym narzędzia DDoS DDOSIA, wielowątkowej aplikacji, mającej implementacje zarówno w Pythonie, jak i w Golanga.
Po otrzymaniu informacji o podejrzanej aktywności GitHub natychmiast usunął konta i repozytoria powiązane z NoName057(16).
Niektóre z ostatnich incydentów przypisywanych grupie to atak na polskie serwisy rządowe w grudniu 2022 roku, ataki na organizacje litewskie (głównie firmy transportowe i spedycyjne) w styczniu 2023 oraz ataki na duńskie instytucje finansowe. W ubiegłym tygodniu grupa próbowała zakłócić wybory prezydenckie w Czechach.
„Konkretne cele obejmują domeny kandydatów Pavla Fischera, Marka Hilšera, Jaroslava Bašty, generała Petra Pavela i Danuše Nerudovej. Dodatkowo w tym samym czasie zaatakowano stronę internetową Ministerstwa Spraw Zagranicznych Republiki Czeskiej” – informuje SentinelOne.
Przez cały 2022 rok obserwowano, jak grupa wykorzystywała różne narzędzia do przeprowadzania ataków, w tym systemy zainfekowane Bobikiem, które wpadły w sidła botnetu. Jednak według SentinelOne NoName057(16) działa przede wszystkim za pośrednictwem swojego narzędzia DDOSIA.
Gamaredon
Przed kolejną grupą hakerską, również znaną ze świadczenia usług innym ugrupowaniom zajmującym się zaawansowanymi trwałymi zagrożeniami (APT), ostrzega Jednostka 42 Palo Alto Networks. Według nich Gamaredon jest jedną z najbardziej natrętnych, stale aktywnych grup APT atakujących Ukrainę.
Grupa działa od co najmniej 2013 roku. Jest znana również pod nazwami Armageddon, Primitive Bear, Shuckworm i Trident Ursa. Jej działania koncentrują się głównie na celach ukraińskich. APT polega na phishingowych wiadomościach mailowych, aby zapewnić dystrybucję złośliwego oprogramowania i dostęp do zaatakowanych sieci oraz danych wywiadowczych innym cyberprzestępcom.
W ciągu ostatnich dziesięciu miesięcy Gamaredon wielokrotnie zmieniał taktykę, techniki i procedury (TTP).
Tradycyjnie grupa hakerska używała przynęt phishingowych w języku ukraińskim, ale w niektórych przypadkach wykorzystywała również przynęty po angielsku, co prawdopodobnie zwiększyło dostęp do sieci i zbieranie danych wywiadowczych zarówno przeciwko Ukrainie, jak i członkom NATO – zauważa Jednostka 42.
Pod koniec sierpnia cyberprzestępcy bezskutecznie próbowali skompromitować „dużą firmę zajmującą się rafinacją ropy naftowej w kraju będącym członkiem NATO”, używając przynęt w języku angielskim.
Analitycy bezpieczeństwa z Jednostki 42 odkryli również, że 24 lutego, tego samego dnia, w którym Rosja najechała Ukrainę, osoba o imieniu Anton, która wydaje się powiązana z Gamaredonem, zagroziła grupie badaczy cyberbezpieczeństwa, którzy opublikowali tweety dotyczące działalności grupy.
W ciągu następnych kilku dni Anton wykorzystał kilka kont do publikowania tweetów z pogróżkami, które zawierały hashtag „Gamaredon”, w tym jeden zawierający pełne imię i nazwisko oraz adres Michaiła Kasimowa, badacza działającego w strefie działań wojennych.
Przez ostatnie sześć miesięcy obserwowano, jak grupa stosowała różne techniki związane z DNS w celu zwiększenia odporności swoich operacji – takie jak korzystanie z „legalnych usług do wysyłania zapytań o przydział adresów IP dla złośliwych domen”, skutecznie omijając rejestrowanie DNS – twierdzi Unit 42.
Widziano również, jak APT wykorzystywał treść komunikatora Telegram do identyfikowania najnowszego adresu IP używanego do dowodzenia i kontroli (C&C), zalewając tabele szybkiego przepływu DNS swoich domen głównych „śmieciowymi” adresami IP i używając subdomen oraz polegając na wirtualnym serwerze prywatnym (VPS) w systemie autonomicznym (AS) dla infrastruktury operacyjnej poza Rosją.
Gamaredon nadal polega na plikach .html i dokumentach programu Word w celu dostarczania szkodliwego oprogramowania, a w ciągu ostatnich trzech miesięcy zaobserwowano używanie dwóch różnych dropperów, a mianowicie samorozpakowującego się archiwum 7-Zip (SFX) oraz programu ładującego, który wykorzystuje wscript do wykonywania dwóch upuszczonych plików.
Pomimo kilkukrotnego publicznego uszczegóławiania swoich operacji, Gamaredon nadal stosuje te same proste techniki, opierając się głównie na ciężkim zaciemnianiu i publicznie dostępnych narzędziach, a nawet ponownie wykorzystując kod w nowych atakach, często odnotowując sukcesy w swoich operacjach i pozostając głównym cyberzagrożeniem dla Ukrainy.