Cybersecurity-onderzoekers zeiden maandag dat ze bewijs hebben gevonden van pogingen tot aanvallen door een aan Rusland gelieerde hackoperatie die gericht was op een Oekraïense entiteit in juli 2021.
Symantec, eigendom van Broadcom, schrijft in een nieuw rapport dat maandag is gepubliceerd de aanvallen toe aan een acteur die wordt gevolgd als Gamaredon (ook bekend als Shuckworm of Armageddon), een cyberspionagecollectief waarvan bekend is dat het sinds ten minste 2013 actief is.
In november 2021 bestempelden Oekraïense inlichtingendiensten de groep als een “speciaal project” van de Russische Federale Veiligheidsdienst (FSB), naast het wijzen naar de groep voor het uitvoeren van meer dan 5.000 cyberaanvallen tegen openbare autoriteiten en kritieke infrastructuur in het land.
Gamaredon-aanvallen zijn meestal afkomstig van phishing-e-mails die de ontvangers verleiden tot het installeren van een aangepaste trojan voor externe toegang, genaamd Pterodo. Symantec maakte bekend dat de acteur tussen 14 juli 2021 en 18 augustus 2021 verschillende varianten van de achterdeur heeft geïnstalleerd en aanvullende scripts en tools heeft ingezet.
“De aanvalsketen begon met een kwaadaardig document, waarschijnlijk verzonden via een phishing-e-mail, dat werd geopend door de gebruiker van de geïnfecteerde machine”, aldus de onderzoekers. zei. De identiteit van de getroffen organisatie is niet bekendgemaakt.
Tegen het einde van juli gebruikte de tegenstander het implantaat om een uitvoerbaar bestand te downloaden en uit te voeren dat fungeerde als een dropper voor een VNC-client, voordat hij verbindingen tot stand bracht met een externe command-and-control-server onder hun controle.
“Deze VNC-client lijkt de ultieme lading voor deze aanval te zijn”, merkten de onderzoekers op, terwijl ze eraan toevoegend dat de installatie werd gevolgd door toegang tot een aantal documenten, variërend van functiebeschrijvingen tot gevoelige bedrijfsinformatie op de gecompromitteerde machine.
Oekraïne roept op tot valse vlag-operatie bij ruitenwisseraanvallen
De bevindingen komen te midden van een golf van ontwrichtende en vernietigende aanvallen tegen Oekraïense entiteiten geheven door vermeende door de Russische staat gesponsorde actoren, resulterend in de inzet van een bestandswisser genaamd WhisperGate, rond dezelfde tijd dat meerdere websites van de overheid werden geschonden.
Volgend onderzoek in de malware is sindsdien onthuld dat de code die in de wisser werd gebruikt, een nieuwe bestemming had gekregen van een nep-ransomware-campagne genaamd WhiteBlackCrypt die in maart 2021 op Russische slachtoffers was gericht.
Interessant is dat het bekend is dat de ransomware een drietandsymbool bevat – dat maakt deel uit van Het wapen van Oekraïne – in de losgeldbrief die het aan zijn slachtoffers toont, waardoor Oekraïne vermoedt dat dit een valse vlag-operatie kan zijn geweest die opzettelijk bedoeld was om een ”nep” pro-Oekraïense groep de schuld te geven van het plegen van een aanval op hun eigen regering.
