Cyberprzestępcy łączą siły. Atak dotyczył Ukrainy

Obie grupy są powiązane z główną rosyjską agencją wywiadu FSB i wspólnie atakowały kluczowe cele w Ukrainie. Geneza współpracy obu grup sięgać może czasów zimnej wojny i KGB.

Analitycy ESET odkryli pierwsze znane przypadki współpracy pomiędzy cyberprzestępczymi grupami Gamaredon i Turla.

Po raz pierwszy w historii zaobserwowano, że narzędzie należące do cyberprzestępczej grupy Gamaredon zostało użyte do ponownego uruchomienia oprogramowania szpiegowskiego grupy Turla na jednej z maszyn w Ukrainie. Analitycy  ESET wykryli także, że oprogramowanie grupy Turla zostało zainstalowane z użyciem narzędzi Gamaredon. Wspólne działania obu grup pokazują, że rosyjskie operacje cyberwojenne coraz częściej bazują na synergii jednostek wyspecjalizowanych w masowych infekcjach i precyzyjnym cyberszpiegostwie.

Dwie grupy cybeprzestępcze

Gamaredon to grupa APT (Advanced Persistent Threat), znana z zaawansowanych kampanii cyberataków, nakierowanych przede wszystkim na instytucje rządowe, organizacje wojskowe oraz inne strategiczne cele. Działa co najmniej od 2013 roku i odpowiada za liczne ataki, głównie wymierzone w ukraińskie instytucje rządowe.

Z kolei Turla, znana również jako Snake, to jedna z najbardziej znanych grup cyberszpiegowskich, aktywna co najmniej od 2004 roku, a być może już od końca lat 90. Jej celem są przede wszystkim podmioty wysokiego szczebla, takie jak rządy i placówki dyplomatyczne w Europie, Azji Centralnej i na Bliskim Wschodzie. Grupa jest znana z włamania do Departamentu Obrony USA w 2008 roku oraz do szwajcarskiej firmy obronnej RUAG w 2014 roku.

- W ciągu tego roku ESET wykrył obecność Turli na siedmiu urządzeniach w Ukrainie. Ponieważ Gamaredon infekuje z kolei setki, jeśli nie tysiące komputerów, sugeruje to, że Turla atakuje tylko w określonych miejscach - prawdopodobnie tam, gdzie znajdują się wysoce wrażliwe informacje – mówi Matthieu Faou, analityk cyberzagrożeń w ESET, który odkrył współpracę Turli i Gamaredon wspólnie z Zoltánem Rusnákiem.

- Gamaredon jest znany ze stosowania ataków typu spearphishing (a więc ukierunkowanego phishingu) i złośliwych plików na nośnikach wymiennych, dlatego jedna z tych metod była najbardziej prawdopodobną przyczyną infekcji. Wierzymy z dużą pewnością, że obie grupy współpracują, choć każda z nich w inny sposób powiązana jest z FSB - wyjaśnia Rusnák.

Według Służby Bezpieczeństwa Ukrainy, Gamaredon jest prawdopodobnie prowadzony przez oficerów Centrum 18 FSB (znanego także jako Centrum Bezpieczeństwa Informacyjnego) na Krymie, które wchodzi w skład kontrwywiadu FSB i zachowuje luźne powiązania z II Zarządem Głównym KGB, odpowiedzialnym za bezpieczeństwo wewnętrzne Związku Radzieckiego. Z kolei Narodowe Centrum Cyberbezpieczeństwa Wielkiej Brytanii przypisuje grupę Turla do Centrum 16 FSB, które jest główną rosyjską agencją wywiadu sygnałowego i bezpośrednim spadkobiercą 16. Zarządu KGB, odpowiedzialnego głównie za pozyskiwanie zagranicznych informacji wywiadowczych poprzez przechwytywanie i analizę sygnałów elektronicznych. 

Wieloletnia współpraca

W czasach sowieckich obie struktury KGB często działały ramię w ramię, np. dzieląc się obowiązkami w zakresie monitorowania zagranicznych ambasad na terenie Rosji. W 2018 roku Służba Bezpieczeństwa Ukrainy (SBU) zaobserwowała, że będące ich spadkobiercami Centra 16 i 18 prowadziły wspólną kampanię cyberszpiegowską (o kryptonimie SpiceyHoney). Inwazja Rosji na Ukrainę w 2022 roku prawdopodobnie wzmocniła tę współpracę.

Odkrycie ESET po raz pierwszy demaskuje natomiast współpracę wywodzących się najprawdopodobniej z nich, współczesnych grup APT Gamaredon i Turla. Dane ESET jednoznacznie pokazują też, że aktywności Gamaredon i Turli w ostatnich miesiącach skupiają się na ukraińskim sektorze obronnym.

Pobierz ebook "E-book: Sklep internetowy dla małej firmy"