Robert Šuman

Vedoucí pražského detekčního a analytického týmu společnosti ESET

V průběhu tohoto roku jsme detekovali aktivity skupiny Turla na sedmi zařízeních na Ukrajině. Vzhledem k tomu, že skupina Gamaredon kompromituje stovky, ne-li tisíce zařízení, se zdá, že útočníci z Turla mají zájem pouze o konkrétní cíle, pravděpodobně ty, které obsahují vysoce citlivé informace. Skupina Gamaredon je známá tím, že využívá spearphishing a škodlivé soubory LNK na ovladačích, které lze odinstalovat.

Jeden z těchto vektorů s největší pravděpodobností použila při kompromitaci. S vysokou mírou jistoty věříme, že obě skupiny - každá samostatně napojená na FSB - spolupracují a že Gamaredon umožňuje skupině Turla počáteční přístup k jejím cílům.

APT skupinu Gamaredon sledujeme dlouhodobě. Kromě nyní nově odhalené spojitosti se skupinou Turla spolupracuje například i s další APT skupinou InvisiMole, kde sledujeme podobný vzorec chování.

APT skupinu Gamaredon sledujeme dlouhodobě. Jedná se o útočníky, kteří nevyužívají sofistikované nástroje, byť patří mezi státem podporované skupiny, které k tomu obvykle mají finanční prostředky. Spolupracují s další APT skupinou InvisiMole, která za ně tento nedostatek kompenzuje.

Skupina Gamaredon se historicky specializovala především na Ukrajinu, i když v poslední době můžeme vidět rozšíření jejích aktivit i na státy NATO. Další nechvalně proslulá skupina napojená na Rusko, Sandworm, ve sledovaném období silně útočila na ukrajinskou energetickou infrastrukturu.

Ta byla jejím cílem již několikrát v minulosti. V nedávných případech nasadila nový typ wiperu s názvem ZEROLOT. Útočníci k tomu účelu zneužili zásady skupiny - Group Policy - ve službě Active Directory u postižených organizací.

Celý útok se skládá z vytvořené falešné webové stránky, která přesměruje potenciální oběť na server, který hostuje exploit, a pokud je exploit úspěšný, spustí se další škodlivý kód, který stáhne a spustí zadní vrátka skupiny RomCom.

I když nevíme, jakým způsobem skupina distribuuje odkaz na falešnou webovou stránku, pokud oběť na stránku přistupuje pomocí zranitelného, neaktualizovaného prohlížeče, je na jejím počítači bez jakékoli další interakce spuštěn škodlivý kód.

Chtěli bychom poděkovat organizaci Mozilla za její velmi rychlou reakci, kdy vydala opravu zjištěné zranitelnosti během jednoho dne.

APT skupinu Gamaredon sledujeme dlouhodobě. Jedná se o útočníky, kteří nevyužívají sofistikované nástroje, byť patří mezi státem podporované skupiny, které k tomu mají finanční prostředky. Spolupracují s další APT skupinou InvisiMole, která za ně tento nedostatek kompenzuje. Skupina Gamaredon se historicky specializovala především na Ukrajinu a rozšíření jejích aktivit na státy NATO není typické.

Na druhou stranu a s ohledem na polohu těchto zemí je jejich zájem o tento region v konečném důsledku očekávaný. I přestože v tuto chvíli nevidíme žádný útok zacílený na Českou republiku, nelze ho do budoucna vyloučit.

Cílem většiny kampaní, kterým se věnujeme v aktuální zprávě, byly vládní organizace a některá konkrétní odvětví, např. ta spojená s pokračujícími a neúnavnými útoky na ukrajinskou infrastrukturu. Evropa zažila ve sledovaném období pestrou škálu útoků od různých kyberútočníků.

Skupiny spojené s Ruskem posílily své špionážní aktivity v Evropské unii, kde jsou stále přítomni také útočníci napojení na Čínu - to naznačuje trvalý zájem těchto APT skupin o dění v evropském prostoru.