乌克兰主要的执法和反间谍机构周四披露了据称参与駭客入侵的五个人的真实身份,他们被认为是一个名为Gamaredon的网络间谍组织,并将这些成员与俄罗斯联邦安全局联系起来。
乌克兰安全局称该黑客组织是 “联邦安全局的特别项目,专门针对乌克兰”,并称犯罪者 “是’克里米亚’联邦安全局的官员和在2014年占领该地址期间投靠敌人的叛徒”。SSU声称参与秘密行动的五个人的名字是Sklianko Oleksandr Mykolaiovych、Chernykh Mykola Serhiiovych、Starchenko Anton Oleksandrovych、Miroshnychenko Oleksandr Valeriiovych和Sushchenko Oleh Oleksandrovych。自2013年成立以来,与俄罗斯有联系的Gamaredon集团(Primitive Bear、Armageddon、Winterflounder 或 Iron Tilden等)一直负责一些恶意的网络钓鱼活动,主要针对乌克兰机构,目的是为了地缘政治利益从被破坏的Windows系统中获取机密信息。
据悉,该威胁行为者对位于该国的公共机构和关键基础设施进行了不少于5000次网络攻击,并试图感染超过1500个政府计算机系统,其中大多数攻击针对安全、国防和执法机构,以获取情报信息。
斯洛伐克網路安全公司ESET在2020年6月发表的一份分析报告中指出:”与其他APT组织相反,Gamaredon组织似乎不遗余力地试图保持在雷达之下,”。”即使他们的工具有能力下载和执行任意的二进制文件,可以隐蔽得多,但似乎这个团体的主要重点是在他们的目标网络中尽可能远和快地传播,同时试图窃取数据”。
除了严重依赖社会工程战术作为入侵载体外,据了解,Gamaredon还投资了一系列工具,用于切割组织的防御系统,这些工具用各种编程语言编码,如VBScript、VBA Script、C#、C++,以及使用CMD、PowerShell和.NET命令外壳。“该机构在一份技术报告中指出:”该组织的活动特点是入侵性和胆大妄为。在其恶意软件武库中,最主要的是一个名为Pterodo(又名Pteranodon)的模块化远程管理工具,它具有远程访问能力、键盘记录、截图能力、访问麦克风,还能从远程服务器下载额外的模块。同时投入使用的还有一个基于.NET的文件窃取器,它被设计用来收集具有以下扩展名的文件。*.doc, *.docx, *.xls, *.rtf, *.odt, *.txt, *.jpg, 和 *.pdf。第三个工具涉及一个恶意的有效载荷,它被设计成通过连接的可移动媒体来分发恶意软件,此外还收集和窃取存储在这些设备中的数据。
“该机构说:”SSU正在不断采取措施,遏制和化解俄罗斯对乌克兰的网络侵略。”作为所谓的’俄罗斯联邦安全局驻克里米亚共和国和塞瓦斯托波尔市办事处’的一个单位,这群人从2014年开始作为一个前哨[…],有目的地威胁乌克兰国家机构和关键基础设施的正常运作”。
原创文章,作者:lyon,如若转载,请注明出处:https://cncso.com/tw/ukraine-accuses-the-gamaredon-network-of-spy-organizations-and-the-russian-federal-security-service.html
