Uma investigação da ESET revelou novas informações sobre o Gamaredon, um grupo de ciberespionagem russo classificado como APT (Ameaça Persistente Avançada) que está ativo desde 2013.
Este grupo, atribuído ao 18º Centro de Segurança da Informação do FSB (Serviço Federal de Segurança da Federação Russa), atua principalmente a partir da Crimeia ocupada.
O Gamaredon tem focado os seus ataques em alvos ucranianos, principalmente instituições governamentais, e está atualmente a colaborar com outro grupo cibercriminoso, o InvisiMole, também identificado pela ESET.
Tentativas de ataque em países da NATO
Embora as operações do Gamaredon sejam maioritariamente direcionadas à Ucrânia, a ESET observou tentativas de ataque a alvos em países da NATO, como a Bulgária, Letónia, Lituânia e Polónia, em abril de 2022 e fevereiro de 2023.
No entanto, estes ataques não foram bem-sucedidos. A ESET destacou o uso de táticas de ofuscação constantemente renovadas pelo grupo, que dificultam o rastreamento e bloqueio das suas atividades.
Ferramentas e técnicas de ciberespionagem
O Gamaredon tem vindo a utilizar campanhas de spearphishing e malware personalizado para comprometer alvos, nomeadamente através da utilização de documentos Word e unidades USB infectadas.
Em 2023, o grupo aprimorou as suas capacidades de ciberespionagem, desenvolvendo novas ferramentas em PowerShell para roubo de dados, incluindo de clientes de email e aplicações de mensagens instantâneas como Signal e Telegram.
Em agosto de 2023, a ESET identificou o PteroBleed, um infostealer criado pelo Gamaredon que se concentra em roubar informações de sistemas militares ucranianos e serviços de webmail de instituições governamentais do país.
Estratégia do grupo Gamaredon
Ao contrário da maioria dos grupos APT, o Gamaredon não procura manter as suas atividades ocultas por longos períodos. De acordo com Zoltán Rusnák, investigador da ESET, os operadores do grupo são negligentes quanto à descoberta das suas atividades, embora invistam esforços para evitar bloqueios por produtos de segurança e manter o acesso aos sistemas comprometidos.
O grupo utiliza várias ferramentas simultâneas para garantir a persistência, compensando a falta de sofisticação das suas operações com atualizações frequentes e técnicas de ofuscação.
Dado o contexto da guerra em curso na Ucrânia, a ESET prevê que o Gamaredon continue a concentrar as suas atividades no país, representando uma ameaça significativa para as suas instituições governamentais.
Para uma análise mais detalhada e técnica das ferramentas e atividades do Gamaredon, consulte o mais recente whitepaper da ESET aqui.
Outros artigos interessantes:
