Le groupe APT Gamaredon vise des cibles de premier plan en Ukraine et dans les pays de l'OTAN - par ESET Research
Publié le 26/09/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• ESET Research a analysé les activités de Gamaredon, un groupe de menaces persistantes avancées (APT) allié de la Russie, actuellement le groupe APT le plus engagé en Ukraine.
• La majorité des attaques de cyber-espionnage de Gamaredon visent des institutions gouvernementales ukrainiennes.
• ESET a constaté des tentatives de compromission de cibles dans plusieurs pays de l'OTAN : la Bulgarie, la Lettonie, la Lituanie et la Pologne, mais aucune violation réussie n'a été observée.
• Gamaredon a bien amélioré ses capacités de cyber-espionnage et développé de nouveaux outils dans PowerShell, en accentuant le vol de données précieuses - à partir de clients de messagerie, d'applis de messagerie instantanée - Signal et Telegram, et d'applis Web exécutées dans des navigateurs Internet.
• ESET Research a découvert PteroBleed, un voleur d'informations qui se concentre aussi sur le vol de données du système militaire ukrainien.
BRATISLAVA, le 27 septembre 2024 — ESET Research a examiné les activités de Gamaredon, un groupe APT pro-russe actif depuis au moins 2013 et aujourd’hui le groupe APT le plus engagé en Ukraine. Le Service de sécurité ukrainien (SSU) a attribué Gamaredon au 18e Centre russe de sécurité de l’information du FSB, actif depuis la Crimée occupée. Ce groupe collabore avec un autre acteur malveillant découvert par ESET Research et nommé InvisiMole. La majorité des attaques de cyber-espionnage de Gamaredon sont dirigées contre les institutions gouvernementales ukrainiennes. En avril 2022 et février 2023, ESET a également constaté quelques tentatives de compromission de cibles dans des pays de l’OTAN, tels que la Bulgarie, la Lettonie, la Lituanie et la Pologne, mais sans aucune violation réussie.
Gamaredon utilise des astuces d’obscurcissement en constante évolution et de nombreuses techniques pour contourner le blocage basé sur le domaine. Ces tactiques sont un défi de taille pour les efforts de suiv. Elles compliquent la détection et le blocage automatiques des outils du groupe. Mais au cours de leur enquête, les chercheurs d’ESET ont pu identifier et comprendre ces tactiques et suivre les activités de Gamaredon. Le groupe déploie méthodiquement ses outils malveillants contre ses cibles bien avant l’invasion de 2022. Pour compromettre de nouvelles victimes, Gamaredon mène des campagnes de spearphishing, puis utilise son maliciel personnalisé pour attaquer les documents Word et les clés USB accessibles à la victime initiale, en espérant qu’ils soient partagés avec d’autres victimes potentielles.
En 2023, Gamaredon a fortement amélioré ses capacités de cyber-espionnage et développé plusieurs nouveaux outils dans PowerShell. Il s’est concentrer sur le vol de données précieuses – à partir de clients de messagerie, d’applis de messagerie instantanée - Signal et Telegram - et d’applis Web exécutées dans des navigateurs Internet. Mais PteroBleed, un voleur d’informations découvert par ESET en août 2023, se concentre aussi sur le vol de données liées à un système militaire ukrainien et au service de messagerie Web utilisé par une institution gouvernementale ukrainienne.
« Contrairement à la plupart des groupes APT, Gamaredon ne cherche pas à être furtif et à rester caché le plus longtemps possible en utilisant de nouvelles techniques pour mener des opérations de cyber-espionnage. Les opérateurs sont imprudents et ne craignent pas d’être découverts au cours de leurs activités. Même s’ils ne se soucient pas d’être bruyants, ils font tout leur possible pour éviter d’être bloqués par les produits sécuritaires et s’efforcent de maintenir l’accès aux systèmes compromis », explique Zoltán Rusnák, le chercheur d’ESET qui mené l’enquête.
« Gamaredon essaie de préserver son accès en déployant simultanément plusieurs télé-chargeurs simples ou portes dérobées. Le manque de sophistication des outils de Gamaredon est compensé par de fréquentes mises à jour et l’utilisation d’un système d’obscurcissement qui change régulièrement. Malgré la simplicité relative de ses outils, l’approche agressive et la persistance de Gamaredon en font une menace importante. Compte tenu de la guerre actuelle, nous nous attendons à ce que Gamaredon continue à se concentrer sur l’Ukraine », conclut Rusnák.
Pour une analyse plus détaillée ainsi qu’une analyse technique des outils et activités de Gamaredon, consultez le dernier livre blanc d’ESET Research Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023”sur www.WeLiveSecurity.com . Suivez aussi ESET Research on Twitter (today known as X) pour les dernières nouvelles d’ESET Research.
ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos : www.eset.com ou LinkedIn, Facebook, X et https://www.eset.com/be-fr/
• La majorité des attaques de cyber-espionnage de Gamaredon visent des institutions gouvernementales ukrainiennes.
• ESET a constaté des tentatives de compromission de cibles dans plusieurs pays de l'OTAN : la Bulgarie, la Lettonie, la Lituanie et la Pologne, mais aucune violation réussie n'a été observée.
• Gamaredon a bien amélioré ses capacités de cyber-espionnage et développé de nouveaux outils dans PowerShell, en accentuant le vol de données précieuses - à partir de clients de messagerie, d'applis de messagerie instantanée - Signal et Telegram, et d'applis Web exécutées dans des navigateurs Internet.
• ESET Research a découvert PteroBleed, un voleur d'informations qui se concentre aussi sur le vol de données du système militaire ukrainien.
BRATISLAVA, le 27 septembre 2024 — ESET Research a examiné les activités de Gamaredon, un groupe APT pro-russe actif depuis au moins 2013 et aujourd’hui le groupe APT le plus engagé en Ukraine. Le Service de sécurité ukrainien (SSU) a attribué Gamaredon au 18e Centre russe de sécurité de l’information du FSB, actif depuis la Crimée occupée. Ce groupe collabore avec un autre acteur malveillant découvert par ESET Research et nommé InvisiMole. La majorité des attaques de cyber-espionnage de Gamaredon sont dirigées contre les institutions gouvernementales ukrainiennes. En avril 2022 et février 2023, ESET a également constaté quelques tentatives de compromission de cibles dans des pays de l’OTAN, tels que la Bulgarie, la Lettonie, la Lituanie et la Pologne, mais sans aucune violation réussie.
Gamaredon utilise des astuces d’obscurcissement en constante évolution et de nombreuses techniques pour contourner le blocage basé sur le domaine. Ces tactiques sont un défi de taille pour les efforts de suiv. Elles compliquent la détection et le blocage automatiques des outils du groupe. Mais au cours de leur enquête, les chercheurs d’ESET ont pu identifier et comprendre ces tactiques et suivre les activités de Gamaredon. Le groupe déploie méthodiquement ses outils malveillants contre ses cibles bien avant l’invasion de 2022. Pour compromettre de nouvelles victimes, Gamaredon mène des campagnes de spearphishing, puis utilise son maliciel personnalisé pour attaquer les documents Word et les clés USB accessibles à la victime initiale, en espérant qu’ils soient partagés avec d’autres victimes potentielles.
En 2023, Gamaredon a fortement amélioré ses capacités de cyber-espionnage et développé plusieurs nouveaux outils dans PowerShell. Il s’est concentrer sur le vol de données précieuses – à partir de clients de messagerie, d’applis de messagerie instantanée - Signal et Telegram - et d’applis Web exécutées dans des navigateurs Internet. Mais PteroBleed, un voleur d’informations découvert par ESET en août 2023, se concentre aussi sur le vol de données liées à un système militaire ukrainien et au service de messagerie Web utilisé par une institution gouvernementale ukrainienne.
« Contrairement à la plupart des groupes APT, Gamaredon ne cherche pas à être furtif et à rester caché le plus longtemps possible en utilisant de nouvelles techniques pour mener des opérations de cyber-espionnage. Les opérateurs sont imprudents et ne craignent pas d’être découverts au cours de leurs activités. Même s’ils ne se soucient pas d’être bruyants, ils font tout leur possible pour éviter d’être bloqués par les produits sécuritaires et s’efforcent de maintenir l’accès aux systèmes compromis », explique Zoltán Rusnák, le chercheur d’ESET qui mené l’enquête.
« Gamaredon essaie de préserver son accès en déployant simultanément plusieurs télé-chargeurs simples ou portes dérobées. Le manque de sophistication des outils de Gamaredon est compensé par de fréquentes mises à jour et l’utilisation d’un système d’obscurcissement qui change régulièrement. Malgré la simplicité relative de ses outils, l’approche agressive et la persistance de Gamaredon en font une menace importante. Compte tenu de la guerre actuelle, nous nous attendons à ce que Gamaredon continue à se concentrer sur l’Ukraine », conclut Rusnák.
Pour une analyse plus détaillée ainsi qu’une analyse technique des outils et activités de Gamaredon, consultez le dernier livre blanc d’ESET Research Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023”sur www.WeLiveSecurity.com . Suivez aussi ESET Research on Twitter (today known as X) pour les dernières nouvelles d’ESET Research.
ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos : www.eset.com ou LinkedIn, Facebook, X et https://www.eset.com/be-fr/