乌克兰首要的执法和反间谍机构周四披露了据称参与网络攻击的五个人的真实身份,这些人被认为是一个名为Gamaredon的网络间谍组织,并将这些成员与俄罗斯联邦安全局(FSB)联系起来。
乌克兰安全局(SSU)称该黑客组织是“俄罗斯联邦安全局(FSB)的一个特别项目,专门针对乌克兰”,肇事者“是‘克里米亚’联邦安全局的官员和在2014年占领该半岛期间投靠敌人的叛徒。”
乌克兰安全局声称参与秘密行动的五个人的名字是Sklianko Oleksandr Mykolaiovych、Chernykh Mykola Serhiiovych、Starchenko Anton Oleksandrovych、Miroshnychenko Oleksandr Valeriiovych和Sushchenko Oleh Oleksandrovych。
自2013年成立以来,与俄罗斯有联系的Gamaredon组织(又名Primitive Bear、Armageddon、Winterflounder或Iron Tilden)一直负责一些主要针对乌克兰机构的恶意网络钓鱼活动,其目的是为了地缘政治利益从被破坏的Windows系统中获取机密信息。
据称,该威胁行为者对乌克兰的公共机构和关键基础设施进行了不少于5000次网络攻击,并试图感染1500多个政府计算机系统,其中大多数攻击针对的是安全、国防和执法机构,以获取情报信息。
斯洛伐克网络安全公司ESET在2020年6月发布的一份分析报告中指出:“与其他APT组织相反,Gamaredon组织似乎没有努力保持警惕。即使他们的工具能够下载和执行任意可能更隐蔽的二进制文件,似乎该组织的主要重点是在试图窃取数据的同时在目标网络中尽可能快地传播。”
除了严重依赖社会工程策略作为入侵媒介之外,众所周知,Gamaredon还投资了一系列工具来突破各组织的网络防御进行攻击,这些工具是用各种编程语言编写的,例如VBScript、VBA Script、C#、C++、以及使用CMD、PowerShell和.NET命令外壳。
乌克兰安全局在一份技术报告中指出:“该组织的活动特点具有侵入性和大胆性。”
其恶意软件库中最主要的是一个名为Pterodo(又名Pteranodon)的模块化远程管理工具,它具有远程访问、键盘记录、屏幕截屏、访问麦克风以及从远程服务器下载其他模块的功能。还使用了基于.NET的文件窃取程序,旨在收集具有以下扩展名的文件:.doc、.docx、.xls、.rtf、.odt、.txt、.jpg、和.pdf。
第三个工具涉及一个恶意的有效载荷,它被设计成通过连接的可移动媒体来分发恶意软件,此外还收集和抽走存储在这些设备中的数据。
该机构表示:“乌克兰安全局正在不断采取措施,遏制和化解俄罗斯对乌克兰的网络侵略。”“作为所谓的‘俄罗斯联邦安全局办公室在克里米亚共和国和塞瓦斯托波尔市’的一个单位成立,这群人从2014年开始作为一个前哨[…],有目的地威胁乌克兰国家机构和关键基础设施的正常运作”