Investigação olha para grupos de ciberespionagem a operar na Ucrânia

A Eset examinou as operações do Gamaredon, um grupo APT alinhado com a Rússia que está ativo desde pelo menos 2013 e é atualmente o grupo APT mais envolvido na Ucrânia. O Gamaredon foi atribuído pelo SSU (Serviço de Segurança da Ucrânia) ao 18.º CIB (Centro de Segurança da Informação) do FSB (Serviço Federal de Segurança da Federação Russa), que opera a partir da Crimeia ocupada. A Eset acredita que este grupo está a colaborar com outro grupo cibercriminoso que a Eset descobriu e identificou como InvisiMole.

A maioria dos ataques de ciberespionagem do Gamaredon são dirigidos contra instituições governamentais ucranianas. No entanto, em abril de 2022 e fevereiro de 2023, a Eset também observou algumas tentativas de comprometer alvos em vários países da NATO, nomeadamente a Bulgária, Letónia, Lituânia e Polónia, mas não foram observados ataques bem-sucedidos.

O Gamaredon utiliza truques de ofuscação em constante mudança e numerosas técnicas para contornar o bloqueio baseado no domínio. Estas táticas representam um desafio significativo para os esforços de rastreamento, pois tornam mais difícil para os sistemas detetar e bloquear automaticamente as ferramentas do grupo. No entanto, durante a investigação da Eset, os seus investigadores conseguiram identificar e compreender estas táticas e acompanharam as atividades do Gamaredon.

O grupo tem implementado metodicamente as suas ferramentas maliciosas contra seus alvos desde muito antes do início da invasão de 2022. Para comprometer novas vítimas, o Gamaredon realiza campanhas de spearphishing e, em seguida, usa o seu malware personalizado para transformar em armas documentos Word e unidades USB acessíveis à vítima inicial, esperando que sejam compartilhados com outras vítimas potenciais.

Durante 2023, o Gamaredon melhorou notavelmente as suas capacidades de ciberespionagem e desenvolveu várias novas ferramentas em PowerShell, com o objetivo de roubar dados valiosos – de clientes de email, aplicações de mensagens instantâneas como o Signal e o Telegram, e aplicações web a correr em browsers.  No entanto, o PteroBleed, um infostealer descoberto pela Eset em agosto de 2023, também se concentra no roubo de dados relacionados com um sistema militar ucraniano – e do serviço de webmail utilizado por uma instituição governamental ucraniana.

“O Gamaredon, ao contrário da maioria dos grupos APT, não tenta ser furtivo e permanecer oculto o maior tempo possível, utilizando novas técnicas durante a realização de operações de ciberespionagem: os operadores são imprudentes e não se importam de serem descobertos pelos defensores durante as suas atividades. Apesar de não se importarem tanto com o facto de serem discretos, fazem um grande esforço para evitar serem bloqueados por produtos de segurança e esforçam-se muito para manter o acesso aos sistemas comprometidos”, explica o investigador da Eset Zoltán Rusnák, que investigou o Gamaredon, em comunicado.

“Normalmente, o Gamaredon tenta preservar o seu acesso através da implementação simultânea de vários downloaders ou backdoors simples. A falta de sofisticação das ferramentas do Gamaredon é compensada por atualizações frequentes e pela utilização de ofuscação que muda regularmente”, acrescenta Rusnák. “Apesar da relativa simplicidade das suas ferramentas, a abordagem agressiva e a persistência do Gamaredon fazem dele uma ameaça significativa. Dada a guerra em curso na região, prevemos que o Gamaredon continue a concentrar-se na Ucrânia”.