Les chercheurs de l’Unité 42 ont trouvé des preuves que Gamaredon ciblait une entité gouvernementale occidentale en Ukraine dans le cadre d’un ciblage généralisé du gouvernement ukrainien et d’autres organisations au cours des 3 derniers mois.

La recherche identifie :

· 700 domaines malveillants

· 100 échantillons de logiciels malveillants

· 215 adresses IP malveillantes

Tout en surveillant cette activité, l’Unité 42 a observé une tentative d’attaque sur une entité gouvernementale occidentale en Ukraine le 19 janvier 2022. Lors cette tentative, plutôt que d’envoyer une pièce à télécharger directement à leur cible, les acteurs ont plutôt tiré parti d’un service d’annonces et de recherche d’emploi basé en Ukraine. Ce faisant, les personnes recherchant une offre d’emploi active ont téléchargé un document Word de type CV et l’ont soumis via la plateforme de recherche d’emploi à une entité gouvernementale occidentale. Au regard de la précision de cette campagne, il semble qu’il s’agisse d’une tentative spécifique et délibérée de Gamaredon de cibler cette organisation gouvernementale occidentale.

Depuis novembre, les tensions géopolitiques entre la Russie et l’Ukraine se sont considérablement aggravées. On estime que la Russie a maintenant amassé plus de 100 000 soldats à la frontière orientale de l’Ukraine, ce qui conduit certains à spéculer qu’une invasion pourrait venir ensuite. Le 14 janvier 2022, ce conflit s’est étendu au domaine cybersécurité alors que le gouvernement ukrainien était ciblé par un logiciel malveillant destructeur (WhisperGate) et qu’une vulnérabilité dans OctoberCMS a été exploitée pour défigurer plusieurs sites Web du gouvernement ukrainien. Bien que l’attribution de ces événements soit en cours et qu’il n’y ait aucun lien connu avec Gamaredon (alias Primitive Bear), l’une des menaces persistantes avancées (APT) existantes les plus actives ciblant l’Ukraine, d’autres cyberactivités malveillantes sont à prévoir au cours des prochaines semaines à mesure que le conflit évolue. . Nous avons également observé une activité récente de Gamaredon. À la lumière de cela, ce blog fournit une mise à jour sur le groupe Gamaredon.

Depuis 2013, juste avant l’annexion de la péninsule de Crimée par la Russie, le groupe Gamaredon a principalement concentré ses cyber campagnes contre des représentants et des organisations du gouvernement ukrainien. En 2017, l’Unité 42 a publié sa première recherche documentant la boîte à outils de Gamaredon et nommant le groupe, et au fil des ans, plusieurs chercheurs ont noté que les opérations et les activités de ciblage de ce groupe s’alignent sur les intérêts russes. Ce lien a récemment été confirmé le 4 novembre 2021, lorsque le Service de sécurité ukrainien (SSU) a publiquement attribué la direction du groupe à cinq agents du Service fédéral de sécurité (FSB) russe affectés à des postes en Crimée. Parallèlement, le SSU a également publié un rapport technique mis à jour documentant les outils et l’artisanat employés par ce groupe.

Compte tenu de la situation géopolitique actuelle et de l’objectif spécifique de ce groupe APT, l’Unité 42 continue de surveiller activement les indicateurs de leurs opérations. Ce faisant, nous avons cartographié trois grands clusters de leur infrastructure utilisés pour soutenir différentes attaques par phishing et malware. Ces clusters sont liés à plus de 700 domaines malveillants, 215 adresses IP et plus de 100 échantillons de logiciels malveillants.

En surveillant ces clusters, nous avons observé une tentative de compromission d’une entité gouvernementale occidentale en Ukraine le 19 janvier 2022. Nous avons également identifié une activité potentielle de test de logiciels malveillants et la réutilisation de techniques impliquant un logiciel de calcul de réseau virtuel (VNC) open source. L’Unit 42 partage son analyse ses différentes conclusions afin d’aider les entités ciblées en Ukraine, ainsi que les organisations de cybersécurité, à se défendre contre ce groupe de menaces.

Gamaredon cible les victimes ukrainiennes depuis près d’une décennie. Alors que les tensions internationales autour de l’Ukraine ne sont toujours pas résolues, les opérations de Gamaredon devraient continuer à se concentrer sur les intérêts russes dans la région. Il faut souligner l’importance de la recherche sur les infrastructures et les logiciels malveillants, ainsi que la collaboration communautaire, afin de détecter et de se défendre contre les cybermenaces des États-nations. Bien que nous ayons cartographié trois grands groupes d’infrastructures Gamaredon actuellement actives, l’Unit 42 pense qu’il en reste d’autres à découvrir. L’unité 42 reste vigilante dans le suivi de l’évolution de la situation et continue de rechercher activement des indicateurs pour mettre en place des protections permettant de se défendre