Hackeri vracajú proruským kyberzločincom „vlastnú medicínu“. GamaCopy napodobňuje ruský Gamaredon, používa vojenskú návnadu

Bezpečnostní analytici pozorovali hackerskú kampaň, ktorá útočí na Rusko a kopíruje ich taktiku.

ruski hackeri
Zdroj: izhar-ahamed a Abbie Fyre z pixabay.com, Vosveteit.sk (úprava)

Bezpečnostní analytici informujú o novej hackerskej kampani, ktorá cieli na rusky hovoriacich užívateľov, píše portál Medium. Hackeri lákajú potenciálne obete informáciami, ktoré sa týkajú vojenských zariadení.  

Nová hackerská kampaň prebieha na základe konfliktu medzi Ukrajinou a Ruskom. Útočníci využívajú ako návnadu vojenské informácie a pomocou open-source nástrojov zahajujú svoje útoky. Analýza naznačuje, že hackeri chcú prebiehajúcou vojnou maskovať svoju aktivitu. Hackerské útoky nesú rukopis skupiny Core Werewolf, ktorá sa vyznačuje niekoľkými hackerskými operáciami voči Rusku.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Zaujímavosťou na pozorovanej situácii je komplikovaný vzťah medzi ďalšími súbežne prebiehajúcimi útokmi v juhoázijskej oblasti. Ide o útoky Sidewinder a Sidecopy. Čo sa ale týka útokov voči Rusku, tie kopírujú taktiku proruskej hackerskej skupiny Gamaredon, ktorá naopak útočí na Ukrajinu. Bezpečnostní analytici predo novú kampaň pomenovali GamaCopy.  

rusko hackeri
Zdroj: trambler58 / shutterstock.com

Napodobňujú proruských hackerov

V rámci tohto útoku hackeri poskytnú potenciálnym obetiam “návnadu”, ktorú predstavuje falošný dokument obsahujúci vojenské informácie. Po otvorení dokumentu útočníci využívajú open-source aplikáciu na diaľkové ovládanie počítača UltraVNC. Hackeri z Core Werewolf ju však premenovali na bežný proces, pravdepodobne aby sa dokázali v zariadení obete schovať.  

GamaCopy kampaň bola po prvýkrát zaznamenaná v júni 2023 a výskumníci si všimli niekoľko útokov smerovaných na ruskú obrannú sféru a kritickú infraštruktúru. Útoky imitovali taktiky, ktoré používa hackerská skupina Gamaredon. Predpokladá sa, že skupina Core Werewolf bola aktívna najmenej od augusta 2021, pravdepodobne dlhšie. 

Hackeri z Gamaredon opakovane využívali 7ZIP-SFX dokumenty a aplikáciu UltraVNC v predchádzajúcich útokoch voči Ukrajine. Bezpečnostní analytici spočiatku predpokladali, že útoky na Rusko prebiehajú úplne rovnako. Hlbšia analýza ale ukázala, že oproti Gamaredon útokom tentokrát útoky voči Rusku prebiehajú s výraznými rozdielmi. Hackeri z Gamaredon častokrát uvoľňujú aplikáciu UltraVNC cez makrá a počas jednotlivých krokov útoku využívajú VBS skripty. Príkladom môžu byť útoky, ktoré prebehli začiatkom roka 2022.  

Hackeri z Gamaredon používali VBS skripty na vykonanie niekoľkých plánovaných úloh, vrátane sťahovania a inštalácie aplikácie UltraVNC. Táto skupina zároveň používala port 5612 častejšie pri práci s UltraVNC. Nové útoky využívajú skôr port 443 na pripojenie sa k hackerskému serveru. Zároveň využívajú veľké množstvo oneskorovacích rozšírení, pravdepodobne aby zvýšili komplexnosť kódu.  

Počas analýzy prebiehajúcich útokov bezpečnostní experti pozorovali aj to, že dokumenty, slúžiace ako návnada, sa týkajú prevažne vojenských zariadení a polohy vojakov. S ohľadom na prebiehajúcu vojnu sú tieto dokumenty mimoriadne lákavé či už pre útočnú alebo pre obrannú stranu. Analýza dokumentov odhalila, že zatiaľ čo hackeri z Gamaredon používali ukrajinčinu vo falošných dokumentoch, GamaCopy kampaň používa skôr ruský jazyk.  

“Na základe analýzy útoku, podobnosti použitého kódu a jazyku vo falošných dokumentoch môžeme povedať, že najnovšie pozorované útoky skutočne pochádzajú z kampane GamaCopy. Tá útočí na ruské ciele a napodobňuje taktiku hackerskej skupiny Gamaredon, ktorá naopak útočila na Ukrajinu,” píšu bezpečnostní analytici.

Ransomware_malware_virus
Zdroj: Vosveteit

Rusko sa v poslednej dobe stalo terčom viacerých útokov 

Vo svetle konfliktu medzi Ruskom a Ukrajinou nie je prekvapením, že hackerské skupiny podporujúce našich susedov napadnú Rusko, rovnako ako krajina nespočetnekrát kyberneticky zasiahla Ukrajinu. Jedna takáto kampaň sa odohrala aj minulý rok. Bezpečnostní analytici odhalili nový druh spywaru, ktorý cielil na ruských užívateľov. Vyšetrovanie odhalilo, že bol tento malvér aktívny približne od júla 2021.  

Špionážny softvér výskumníci nazvali LianSpy a vyznačuje sa niekoľkými pokročilými funkciami. Dokáže zachytiť snímky obrazovky, kradnúť súbory obete a získať informácie o posledných hovoroch a nainštalovaných aplikáciách. Aby sa hackeri za malvérom vyhli odhaleniu, využívajú niekoľko premyslených taktík. Viac sa o priebehu útoku záhadnej hackerskej skupiny dozvieš v tomto článku. 

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre