(https://i.imgur.com/g6Y7Tng.png)
La principal agencia de aplicación de la ley y contrainteligencia de Ucrania reveló el jueves las identidades reales de cinco personas presuntamente involucradas en ataques cibernéticos atribuidos a un grupo de ciberespionaje llamado Gamaredon , que vincula a los miembros con el Servicio Federal de Seguridad de Rusia (FSB).
El Servicio de Seguridad de Ucrania (SSU), que calificó al grupo de hackers como "un proyecto especial del FSB, que apuntaba específicamente a Ucrania", dijo que los perpetradores "son oficiales del FSB 'de Crimea' y traidores que desertaron al enemigo durante la ocupación de la península en 2014. "
Los nombres de las cinco personas que la SSU alega que forman parte de la operación encubierta son Sklianko Oleksandr Mykolaiovych, Chernykh Mykola Serhiiovych, Starchenko Anton Oleksandrovych, Miroshnychenko Oleksandr Valeriiovych y Sushchenko Oleh Oleksandrovych.
Desde su creación en 2013, el grupo Gamaredon vinculado a Rusia (también conocido como Primitive Bear, Armageddon, Winterflounder o Iron Tilden) ha sido responsable de una serie de campañas de phishing maliciosas, principalmente dirigidas a instituciones ucranianas, con el objetivo de recopilar información clasificada de comprometido los sistemas de Windows para obtener beneficios geopolíticos.
(https://i.imgur.com/8wd9JH9.jpg)
Se cree que el actor de la amenaza ha llevado a cabo no menos de 5,000 ciberataques contra las autoridades públicas y la infraestructura crítica ubicada en el país, e intentó infectar más de 1,500 sistemas informáticos gubernamentales, con la mayoría de los ataques dirigidos a las agencias de seguridad, defensa y aplicación de la ley para obtener información de inteligencia.
"A diferencia de otros grupos de APT, el grupo Gamaredon parece no hacer ningún esfuerzo para intentar pasar desapercibido", señaló la firma eslovaca de ciberseguridad ESET en un análisis publicado en junio de 2020. "A pesar de que sus herramientas tienen la capacidad de descargar y ejecutar de forma arbitraria binarios que podrían ser mucho más sigilosos, parece que el objetivo principal de este grupo es propagarse lo más lejos y rápido posible en la red de su objetivo mientras intenta exfiltrar datos ".
(https://i.imgur.com/1JVPkuw.jpg)
Además de su gran dependencia de las tácticas de ingeniería social como vector de intrusión, se sabe que Gamaredon ha invertido en una variedad de herramientas para atravesar las defensas de las organizaciones que están codificadas en una variedad de lenguajes de programación como VBScript, VBA Script, C #, C ++, así como el uso de shells de comandos CMD, PowerShell y .NET.
"Las actividades del grupo se caracterizan por la intromisión y la audacia", señaló la agencia en un informe técnico .
El principal de su arsenal de malware es una herramienta modular de administración remota llamada Pterodo (también conocida como Pteranodon ) que viene con capacidades de acceso remoto, registro de pulsaciones de teclas, la capacidad de tomar capturas de pantalla, acceder al micrófono y también descargar módulos adicionales desde un servidor remoto. También se utiliza un ladrón de archivos basado en .NET que está diseñado para recopilar archivos con las siguientes extensiones: * .doc, * .docx, * .xls, * .rtf, * .odt, * .txt, * .jpg, y * .pdf.
Una tercera herramienta se refiere a una carga útil maliciosa que está diseñada para distribuir el malware a través de medios extraíbles conectados, además de recopilar y desviar datos almacenados en esos dispositivos.
"La SSU está continuamente tomando medidas para contener y neutralizar la ciberagresión de Rusia contra Ucrania", dijo la agencia. "Establecido como una unidad de la llamada 'Oficina del FSB de Rusia en la República de Crimea y la ciudad de Sebastopol', este grupo de personas actuó como un puesto de avanzada [...] desde 2014 amenazando deliberadamente el funcionamiento adecuado de los órganos estatales y infraestructura de Ucrania ".
Fuente: https://thehackernews.com