Сегодня я увидел эту статью в Wired: Gamaredon: The Turncoat Spies Relentlessly Hacking Ukraine .
Gamaredon - одна из самых активных хакерских групп, о которых не пишут на первых страницах газет и она ни разу не обсуждалась на форумах. Однако эксперты считают её одно из самых вредоносных в мире. Я почитал про эту "дружную команду" еще больше, начал писать статью, редачил несколько раз, но у меня получилась каша кашная. Пришлось запихать наработки в ИИ для структуированной подачи материала, поэтому выдаю так.
Введение
В ландшафте современных APT-угроз (Advanced Persistent Threats) группа Gamaredon (также известная как Shuckworm, Primitive Bear, ACTINIUM, Armageddon) занимает особое место. В отличие от многих других акторов, делающих ставку на стелс, сложные эксплойты и длительное незаметное присутствие, Gamaredon характеризуется чрезвычайно высоким темпом операций, широким охватом целей и использованием относительно простых, но эффективных инструментов. Основной фокус группы практически полностью сосредоточен на Украине, включая государственные, военные, правоохранительные и критически важные инфраструктурные объекты. Их подход можно охарактеризовать как "войну на истощение" в киберпространстве.
Атрибуция и операционный фокус
Хотя окончательная атрибуция в киберпространстве всегда сложна, большинство публичных отчетов ведущих ИБ-компаний и государственных агентств (включая СБУ и CERT-UA) связывают Gamaredon с российскими спецслужбами, в частности, с ФСБ РФ. Некоторые отчеты указывают на возможное формирование ядра группы из бывших сотрудников СБУ, базировавшихся в Крыму до 2014 года. Этот предполагаемый бэкграунд может объяснять глубокое понимание специфики украинских сетей, организационных структур и используемого ПО. Операционная деятельность группы резко интенсифицировалась с началом полномасштабного вторжения в 2022 году, но их активность против Украины прослеживается как минимум с 2013 года.
Тактики, Техники и Процедуры (TTPs)
Gamaredon полагается на проверенные временем, хотя и технически не самые передовые, методы для достижения своих целей.
Несмотря на масштабы операций, OpSec Gamaredon часто оценивается как недостаточно строгий:
Группа демонстрирует способность к адаптации:
Парадокс Gamaredon заключается в том, что их эффективность достигается не за счет технической сложности, а за счет непрерывного, подавляющего объема атак. Каждая атака, даже неудачная, требует ресурсов для анализа и реагирования со стороны Blue Team. Успешные компрометации создают плацдарм для дальнейшего проникновения, сбора данных или использования в качестве прокси для других атак. Эта стратегия "тысячи порезов" истощает защитные ресурсы, перегружает системы SIEM/SOAR и ИБ-аналитиков, что в конечном итоге приводит к прорывам обороны.
Заключение
Gamaredon представляет собой уникальный пример APT-актора, чья основная сила — в масштабе, настойчивости и глубоком знании специфики своей главной цели. Их TTPs не являются передовыми, но их постоянная эволюция, адаптация C2-инфраструктуры (включая использование Telegram API и туннелирования) и неустанная операционная активность делают их одной из самых серьезных и ресурсоемких угроз для украинских организаций. Анализ их деятельности требует постоянного мониторинга, быстрой адаптации защитных мер и понимания их стратегии, основанной на истощении ресурсов противника.
Gamaredon - одна из самых активных хакерских групп, о которых не пишут на первых страницах газет и она ни разу не обсуждалась на форумах. Однако эксперты считают её одно из самых вредоносных в мире. Я почитал про эту "дружную команду" еще больше, начал писать статью, редачил несколько раз, но у меня получилась каша кашная. Пришлось запихать наработки в ИИ для структуированной подачи материала, поэтому выдаю так.
Введение
В ландшафте современных APT-угроз (Advanced Persistent Threats) группа Gamaredon (также известная как Shuckworm, Primitive Bear, ACTINIUM, Armageddon) занимает особое место. В отличие от многих других акторов, делающих ставку на стелс, сложные эксплойты и длительное незаметное присутствие, Gamaredon характеризуется чрезвычайно высоким темпом операций, широким охватом целей и использованием относительно простых, но эффективных инструментов. Основной фокус группы практически полностью сосредоточен на Украине, включая государственные, военные, правоохранительные и критически важные инфраструктурные объекты. Их подход можно охарактеризовать как "войну на истощение" в киберпространстве.
Атрибуция и операционный фокус
Хотя окончательная атрибуция в киберпространстве всегда сложна, большинство публичных отчетов ведущих ИБ-компаний и государственных агентств (включая СБУ и CERT-UA) связывают Gamaredon с российскими спецслужбами, в частности, с ФСБ РФ. Некоторые отчеты указывают на возможное формирование ядра группы из бывших сотрудников СБУ, базировавшихся в Крыму до 2014 года. Этот предполагаемый бэкграунд может объяснять глубокое понимание специфики украинских сетей, организационных структур и используемого ПО. Операционная деятельность группы резко интенсифицировалась с началом полномасштабного вторжения в 2022 году, но их активность против Украины прослеживается как минимум с 2013 года.
Тактики, Техники и Процедуры (TTPs)
Gamaredon полагается на проверенные временем, хотя и технически не самые передовые, методы для достижения своих целей.
- Initial Access (Первоначальный доступ):
- Spear-Phishing: Основной вектор. Массовые, но часто таргетированные фишинговые кампании. Письма маскируются под официальную корреспонденцию от украинских государственных органов, военных ведомств, международных организаций или используют актуальные социально-политические темы.
- Delivery Payloads (Доставляемая нагрузка):
- Вредоносные документы: Чаще всего .docm или .docx с вредоносными макросами (VBA), использующие технику "remote template injection" для загрузки следующей стадии с внешнего ресурса.
- Архивы: .zip, .rar, .7z, содержащие LNK-файлы, VBS-скрипты или исполняемые файлы.
- LNK-файлы: Специально сформированные ярлыки, при открытии которых выполняется команда (часто PowerShell или mshta.exe) для загрузки и запуска вредоносного кода.
- Execution (Исполнение):
- Преимущественно используются встроенные утилиты Windows: mshta.exe, powershell.exe, wscript.exe, cscript.exe.
- PowerShell активно применяется для безфайлового исполнения (fileless execution), загрузки скриптов и бинарных файлов напрямую в память или их выполнения с диска.
- VBS-скрипты часто служат загрузчиками (droppers/downloaders) для основного импланта.
- Persistence (Закрепление):
- Стандартные методы: ключи реестра (Run, RunOnce), запланированные задачи (Scheduled Tasks), размещение LNK/VBS в папках автозагрузки (Startup folders).
- Часто создают несколько механизмов закрепления для повышения отказоустойчивости.
- Core Toolset (Основной инструментарий):
- Pteranodon / Pterodo: Основное семейство бэкдоров группы, написанное на VBS и PowerShell, позже появились версии на C#. Предназначено для базового управления системой, сбора информации и загрузки дополнительных модулей. Характеризуется частыми, но незначительными итерационными изменениями для обхода сигнатур.
- Инфостилеры: Используют как кастомные, так и общедоступные стиллеры для сбора учетных данных из браузеров, почтовых клиентов, FTP-клиентов, VPN-клиентов.
- RAT (Remote Access Trojans): Периодически применяют общедоступные RAT для расширенного удаленного управления.
- Обфускация: Применяют базовые и средние методы обфускации для VBS и PowerShell скриптов (переменные, кодирование строк, иногда упаковщики), но редко используют сложные криптографические или антиотладочные техники.
- Command & Control (C2, Управление):
- Инфраструктура: Огромное количество доменов и IP-адресов, часто регистрируемых на короткий срок. Активно используют динамические DNS (DDNS) и технику Fast-Flux для быстрого изменения IP-адресов, связанных с C2-доменами, что усложняет блокировку по IP.
- Протоколы: Преимущественно HTTP/HTTPS для коммуникаций.
- Telegram API: Зафиксировано использование Telegram ботов в качестве C2-канала. Зараженные машины отправляют запросы к Telegram API, получая команды и отправляя данные, что позволяет маскировать трафик под легитимную активность мессенджера и обходить стандартные средства сетевого мониторинга и фильтрации.
- Туннелирование: Использование легитимных сервисов туннелирования (например, ngrok) для проброса портов и создания временных C2-каналов из скомпрометированных сетей.
- Exfiltration (Эксфильтрация данных):
- Использование стандартных протоколов (HTTP/S) для передачи небольших объемов данных.
- Применение легитимных утилит (например, rclone) для синхронизации/выгрузки больших объемов данных на контролируемые группой облачные хранилища.
- Иногда данные передаются через тот же Telegram API или другие нестандартные каналы.
Несмотря на масштабы операций, OpSec Gamaredon часто оценивается как недостаточно строгий:
- Повторное использование инфраструктуры: Несмотря на быструю смену, часто наблюдается повторное использование доменов, IP-подсетей, регистраторов или хостинг-провайдеров, что позволяет связывать кампании.
- Артефакты в коде: Вредоносное ПО иногда содержит отладочную информацию, комментарии или паттерны, упрощающие атрибуцию и анализ.
- Высокая "шумность": Массовость атак делает их легко обнаруживаемыми для систем мониторинга и команд реагирования, что позволяет оперативно генерировать IoC (индикаторы компрометации).
Группа демонстрирует способность к адаптации:
- Расширение вектора атак: Начали активно атаковать не только через почту, но и через мессенджеры (Telegram, Signal, WhatsApp), вероятно, для более таргетированной доставки и социальной инженерии.
- Фокус на специфическом ПО: Атаки на специализированное ПО, такое как система ситуационной осведомленности Delta, используемая украинскими военными, указывают на адаптацию к текущим потребностям заказчика операций.
- Итеративное улучшение ПО: Постоянные, хотя и небольшие, изменения в коде VBS/PowerShell/C# имплантов для обхода обнаружения.
Парадокс Gamaredon заключается в том, что их эффективность достигается не за счет технической сложности, а за счет непрерывного, подавляющего объема атак. Каждая атака, даже неудачная, требует ресурсов для анализа и реагирования со стороны Blue Team. Успешные компрометации создают плацдарм для дальнейшего проникновения, сбора данных или использования в качестве прокси для других атак. Эта стратегия "тысячи порезов" истощает защитные ресурсы, перегружает системы SIEM/SOAR и ИБ-аналитиков, что в конечном итоге приводит к прорывам обороны.
Заключение
Gamaredon представляет собой уникальный пример APT-актора, чья основная сила — в масштабе, настойчивости и глубоком знании специфики своей главной цели. Их TTPs не являются передовыми, но их постоянная эволюция, адаптация C2-инфраструктуры (включая использование Telegram API и туннелирования) и неустанная операционная активность делают их одной из самых серьезных и ресурсоемких угроз для украинских организаций. Анализ их деятельности требует постоянного мониторинга, быстрой адаптации защитных мер и понимания их стратегии, основанной на истощении ресурсов противника.