Ucrania identifica a los oficiales rusos del FSB que piratean como grupo Gamaredon

La principal agencia ucraniana de aplicación de la ley y contrainteligencia reveló el jueves las identidades reales de cinco personas que supuestamente estuvieron involucradas en ciberataques, la de un grupo de ciberespionaje. puede ser atribuido Gamaredon, que conecta a los miembros con el Servicio Federal de Seguridad de Rusia (FSB).

El Servicio de Seguridad de Ucrania (SSU) calificó al grupo de piratas informáticos como «un proyecto especial del FSB dirigido específicamente a Ucrania» y dijo que los perpetradores eran «oficiales del FSB ‘de Crimea’ y traidores que desertaron al enemigo durante la ocupación de la península en 2014. «

Los nombres de las cinco personas que la SSU afirma formar parte de la operación encubierta son Sklianko Oleksandr Mykolaovych, Chernykh Mykola Serhiiovych, Starchenko Anton Oleksandrovych, Miroshnychenko Oleksandr Valeriiovych y Sushchenko Oleh Oleksandrovych.

Desde su creación en 2013, el grupo Gamaredon afiliado a Rusia (también conocido como Primitive Bear, Armageddon, Winterflounder o Iron Tilden) ha sido responsable de una serie de campañas de phishing maliciosas, principalmente dirigidas a instituciones ucranianas, con el objetivo de obtener información clasificada de comprometidos los sistemas de Windows para beneficio geopolítico.

Se cree que el actor de la amenaza ha llevado a cabo no menos de 5.000 ciberataques contra agencias gubernamentales e infraestructuras críticas en el país e intentó infectar más de 1.500 sistemas informáticos gubernamentales, con la mayoría de los ataques dirigidos a agencias de seguridad, defensa y aplicación de la ley con información de inteligencia. .

«A diferencia de otros grupos de APT, el grupo Gamaredon no parece estar haciendo ningún esfuerzo por permanecer bajo el radar», señaló la firma eslovaca de ciberseguridad ESET en un análisis publicado en junio de 2020. “Si bien sus herramientas tienen la capacidad de descargar y ejecutar cualquier archivo binario que podría estar mucho más oculto, parece que el objetivo principal de este grupo es llegar lo más lejos y lo más rápido posible a la red de su objetivo mientras intenta exfiltrar datos. «

Además de su gran dependencia de las tácticas de ingeniería social como vector de intrusión, se sabe que Gamaredon ha invertido en una variedad de herramientas para buscar defensas de organizaciones escritas en una variedad de lenguajes de programación, incluidos VBScript, VBA Script, C #, C + +, así como el uso de shells de comandos CMD, PowerShell y .NET.

«Las actividades del grupo están marcadas por la intrusión y la audacia», enfatizó la agencia en un informe técnico.

El más importante de su arsenal de malware es una herramienta modular de administración remota llamada Pterodo (también conocida como Pteranodon), que tiene capacidades de acceso remoto, registro de pulsaciones de teclas, la capacidad de tomar capturas de pantalla, acceder al micrófono y descargar módulos adicionales desde un servidor remoto. También se utiliza un ladrón de archivos basado en .NET, que recopila archivos con las siguientes extensiones: * .doc, * .docx, * .xls, * .rtf, * .odt, * .txt, * .jpg y *. pdf.

Una tercera herramienta se refiere a una carga útil maliciosa diseñada para distribuir el malware a través de medios extraíbles adjuntos y para recopilar y extraer datos almacenados en estos dispositivos.

«La SSU está continuamente tomando medidas para contener y neutralizar la ciberagresión de Rusia contra Ucrania», dijo la agencia. “Fundada como una unidad de la llamada ‘Oficina FSB de Rusia en la República de Crimea y la ciudad de Sebastopol’, este grupo de personas actuó como un puesto de avanzada […] de 2014 amenazó deliberadamente el funcionamiento adecuado de los órganos estatales y la infraestructura crítica de Ucrania «.