Атакующие Украину хакеры из Крыма — одни из самых опасных в мире. Что о них известно и как они связаны с ФСБ?
28.04.2025 00:01
Она заняла первое место в списке малоизвестных, но вредоносных группировок. Журнал назвал участников Gamaredon "шпионами-перебежчиками", активно взламывающими системы в Украине и связывающими их с ФСБ. Но что на самом деле стоит за деятельностью этой группировки?
В ESET отмечают, что основным орудием в руках хакеров из Gamaredon стали фишинговые атаки. Они используют этот метод для массовой отправки писем и сообщений с вредоносными вложениями потенциальным жертвам. Это позволяет им эффективно проникать в системы и получать доступ к конфиденциальной информации.Gamaredon не только проводит кибератаки, но также, как утверждает Wired, имеет связи со спецслужбами. Это вызывает вопросы о том, насколько глубоко укоренилась группировка в кибершпионаже и какие цели она преследует. Расследование "Ленты.ру" раскрывает детали деятельности Gamaredon и ее взаимосвязь с различными игроками на мировой киберарене.С 2013 года группировка Gamaredon неизменно использует тактику, при которой вредоносные программы распространяются с одного зараженного устройства на другие, нанося серьезный ущерб цели. Опрошенные специалисты Wired подчеркивают, что хоть методы атак остаются простыми, группировка постоянно совершенствует их и направляет их на украинские министерства, военные ведомства и союзников в Восточной Европе.Несмотря на то, что Gamaredon фокусируется на украинских целях, его влияние распространяется и на другие страны. Эксперты отмечают, что группировка стала серьезным и недооцененным противником, активно атакуя не только государственные организации, но и частные компании.С каждым новым случаем взлома Gamaredon укрепляет свою позицию как опасный игрок в киберпространстве. Его стратегия нацеливания на различные уровни власти и влияния делает его значительной угрозой для цифровой безопасности не только Украины, но и всей региона.Хакеры, как правило, начинают кражу чувствительных данных всего через полчаса после заражения устройства. Согласно данным ESET, некоторые злоумышленники иногда заражают одно устройство сразу несколькими видами вредоносного ПО. Эта информация подтверждается отчетами CERT-UA, которые указывают на обнаружение от 80 до 120 различных вирусов на зараженных компьютерах через неделю после атаки. Обнаружение этих вирусов представляет серьезную проблему для специалистов.Спустя неделю после атаки, компьютеры могут быть заражены десятками разновидностей вредоносных программ, что затрудняет их обнаружение и удаление. Эксперты из ESET также отмечают, что хакеры могут использовать несколько образцов вредоносного ПО для заражения одного устройства, увеличивая сложность обнаружения и борьбы с инфекцией.По мнению специалистов, важно принимать меры предосторожности и регулярно обновлять антивирусные программы, чтобы защитить свои устройства от атак и кражи данных. В свете угрозы со стороны хакеров, необходимо уделить большее внимание безопасности в цифровом пространстве и быть готовыми к возможным атакам.Эксперты журнала Wired в своей статье сначала называют Gamaredon "группировкой хакеров из ФСБ", однако добавляют к этому утверждению слово "предположительно". Это стало являться ключевым моментом, когда издание ссылается на отчет департамента кибербезопасности Службы безопасности Украины (СБУ), опубликованный еще в 2021 году. В этом отчете ведомство утверждает, что группировка, известная также под названиями Armagedon, Primitive Bear, UNC530, Actinium и Aqua Blizzard, осуществила более 5000 кибератак на государственные органы и критическую инфраструктуру Украины.Подробно исследуя документ СБУ, журналисты обнаружили, что Gamaredon, или как его еще называют, Armagedon, является одной из самых активных киберугроз в регионе. Эта группировка специализируется на нападениях на государственные учреждения и критическую инфраструктуру, что создает серьезные угрозы для национальной безопасности.Следует отметить, что деятельность Gamaredon вызывает серьезные опасения у киберспециалистов и правительственных органов, поскольку их атаки могут привести к серьезным последствиям для страны. Такие действия подчеркивают важность укрепления кибербезопасности и принятия соответствующих мер для защиты от подобных угроз.Украинские аналитики заявляли, что группа Armagedon, являющаяся спецпроектом ФСБ, целенаправленно направлена на Украину. Они также утверждали, что им удалось идентифицировать участников группировки, перехватить их сообщения и собрать убедительные доказательства их причастности к кибератакам. Это сотрудники ФСБ Крыма, которые являются членами Armagedon, согласно украинским аналитикам, координируют свою деятельность с 18-м Центром ФСБ в Москве.Следует отметить, что в начальные годы существования Armagedon ее участники использовали легальное программное обеспечение, которое впоследствии было заменено на специализированный вредоносный софт Pteranodon, как отметили в СБУ. Это свидетельствует о постоянной эволюции и усовершенствовании методов кибератак группировки.Таким образом, деятельность хакерской группировки Armagedon, являющейся спецпроектом ФСБ, представляет серьезную угрозу для кибербезопасности Украины. Украинским аналитикам удалось раскрыть не только имена участников группы, но и их методы работы, что позволяет принимать более эффективные меры по защите от потенциальных кибератак.Украинские киберспециалисты сообщили, что им удалось выявить множество командно-контрольных серверов, которые использовали члены группировки Gamaredon для своих атак. По их данным, для установки этих серверов предпочтительно пользовались услугами российских операторов связи, и Служба безопасности Украины даже назвала конкретные компании, с которыми сотрудничали злоумышленники. Однако подробные сведения о связях между членами группировки и ФСБ остались за кадром.Следует отметить, что в 2021 году были раскрыты имена пятерых предполагаемых участников Gamaredon, которые, по утверждениям украинских представителей, были связаны с севастопольским отделением ФСБ. Важно отметить, что эти расследования продолжаются, и украинская разведка продолжает работу над раскрытием дополнительных деталей и связей между участниками группировки и российскими спецслужбами.В связи с возросшими подозрениями в государственной измене, Киев обнародовал информацию о предполагаемой причастности некоторых лиц к действиям в ущерб национальной безопасности. Помимо этого, появились данные о перехваченных телефонных разговорах между членами группировки, в которых обсуждались планируемые атаки и недовольство зарплатами, выплачиваемыми ФСБ.Последние отчеты, опубликованные в отношении этой группировки, отмечают ее статус «ключевой киберугрозы для Украины», указывая на то, что она несет ответственность за множество кибератак, направленных против Киева. В свете этого становится ясно, что деятельность данной группировки представляет серьезную угрозу для киберпространства страны.
Следует отметить, что в распоряжении хакеров появились новые варианты известного вредоносного ПО PowerShell, которое используется для извлечения файлов с определенными расширениями, кражи учетных данных и создания скриншотов экрана зараженных устройств. Это свидетельствует о постоянном развитии и совершенствовании методов кибератак, применяемых группировкой в своей деятельности.
В 2023 году Gamaredon продемонстрировал значительное усовершенствование своих способностей в области кибершпионажа. Эксперты отметили, что группировка разработала несколько новых вариаций PowerShell, сфокусировавшись на краже ценных данных из различных источников, включая почтовые клиенты, приложения для обмена мгновенными сообщениями, такие как Signal и Telegram, а также веб-приложения, работающие в браузерах.Важным моментом, о котором рассказывали в CERT-UA, является то, что для проникновения в сеть жертвы злоумышленники используют фишинговые письма. Они маскируют вредоносное содержимое под файлы архивов, чьи названия напрямую или косвенно связаны с военными действиями в конкретной стране. Текст сообщения стимулирует жертву распаковать архив и прочитать вложенное сообщение.Эксперты также отметили, что Gamaredon активно использует социальную инженерию для обмана пользователей и получения доступа к конфиденциальной информации. Кроме того, группировка постоянно совершенствует свои методы атаки, что делает ее одним из наиболее опасных игроков в киберпространстве.В рамках последней кампании, начавшейся в ноябре 2024 года, появилась информация о важных перемещениях украинских войск, которые оказались ложными. Только пользователи с украинскими IP-адресами могут открыть эти файлы, что уменьшает риск случайного заражения посторонних лиц. Письма с вредоносными вложениями приходят с доменов, ассоциированных с различными легитимными организациями, включая Службу безопасности Украины (СБУ).Один из относительно новых методов атак, выявленных ESET, заключается в взломе аккаунтов солдат Вооруженных сил Украины (ВСУ) в мессенджерах Telegram, WhatsApp и Signal. Злоумышленники, представляющие группировку Gamaredon, стремятся получить информацию о перемещениях войск и их логистике. В результате этого, конфиденциальные данные и операционные планы могут оказаться в руках злоумышленников, что представляет серьезную угрозу для безопасности страны.Gamaredon, группировка, известная своими кибератаками, нацеливается на различные организации и структуры, включая правительственные учреждения, объекты критической инфраструктуры, а также оборонные и правоохранительные органы. Согласно данным CERT-UA, лишь за 2022 год в Украине зафиксировано более 70 инцидентов, связанных с действиями этой группировки. Однако за все время ее существования таких инцидентов было сотни, если не тысячи.Важно отметить, что начиная с октября 2021 года, Gamaredon начала направлять свои атаки на учетные записи организаций, играющих ключевую роль в реагировании на чрезвычайные ситуации и обеспечении безопасности Украины. Это также касается организаций, ответственных за координацию распределения международной и гуманитарной помощи в условиях кризиса на Украине, подчеркивали аналитики The Microsoft Threat Intelligence Center.Подвергаясь атакам Gamaredon, организации сталкиваются с серьезными угрозами для своей безопасности и оперативности действий. В свете учащающихся случаев кибератак, необходимо усилить меры защиты информационных систем и учетных данных, чтобы минимизировать риски и обеспечить надежную защиту от потенциальных угроз.Исследователи ESET сообщили, что группа Gamaredon, по мнению украинских специалистов, не только нападает на Украину, но и на её союзников, включая Латвию. В ходе своего анализа они обнаружили неудачные попытки взлома объектов в нескольких странах НАТО, таких как Болгария, Латвия, Литва и Польша. Одним из потенциальных жертв этой группировки, по данным исследователей Palo Alto Networks, мог стать крупный нефтеперерабатывающий завод.Более того, согласно информации от украинских экспертов, действия Gamaredon имеют международный характер и могут представлять угрозу для целого ряда стран. Исследователи ESET подтверждают, что группировка проявляет активность не только в Украине, но и за её пределами, стремясь дестабилизировать обстановку в ряде других государств.Несмотря на попытки проникновения в объекты в различных странах, в том числе в Латвию, Литву, Польшу и Болгарию, ученые обращают внимание на то, что существует реальная угроза для критической инфраструктуры, включая нефтеперерабатывающие заводы. По мнению специалистов, необходимо принимать меры для защиты от подобных кибератак и обеспечения безопасности национальных объектов.Источник и фото - lenta.ru
