Hackers do grupo Gamaredon, que o Serviço de Segurança da Ucrânia (SSU) afirma ser liderado por cinco oficiais do Serviço Federal de Segurança da Rússia (FSB), utilizaram o serviço de buscas de emprego para atacar um órgão do governo ucraniano. A descoberta foi feita por pesquisadores da Unit 42 da Palo Alto Networks que, ao monitorar essa atividade, observou uma tentativa de atingir uma entidade governamental da Ucrânia. O ataque foi feito em 19 de janeiro.
Segundo a equipe da Unit 42, nessa tentativa, em vez de enviar um downloader diretamente para seu alvo, os hackers aproveitaram o serviço de busca de emprego. Para isso, eles procuraram um anúncio de emprego ativo, carregaram um documento do Word rotulado como currículo e o enviaram por meio da plataforma de buscas de emprego a uma entidade do governo ucraniano. “Dadas as etapas e a precisão envolvidas nessa campanha, tudo leva a crer que tenha sido uma tentativa específica e deliberada do Gamaredon”, disseram os pesquisadores da Palo Alto.
Os pesquisadores da Unit 42 encontraram evidências de que o Gamaredon atacou uma entidade do governo como parte de um ataque generalizado àquele país e outras organizações nos últimos três meses. Eles identificaram 700 domínios maliciosos, 100 amostras de malwaree 215 endereços IP maliciosos.
Ao monitorar essa atividade, a Unit 42 observou uma tentativa de atingir uma entidade governamental ocidental na Ucrânia em 19 de janeiro de 2022. Nessa tentativa, em vez de enviar um downloader diretamente para seu alvo, os atores aproveitaram um serviço de busca de emprego dentro Ucrânia. Ao fazer isso, os atores procuraram um anúncio de emprego ativo, carregaram um documento do Word rotulado como currículo e o enviaram por meio da plataforma de busca de emprego a uma entidade do governo ocidental. Dadas as etapas e a entrega de precisão envolvidas nesta campanha, parece que isso pode ter sido uma tentativa específica e deliberada da Gamaredon de atingir essa organização do governo ocidental.
Veja isso
Grupo de espionagem mira organismos militares do Leste Europeu
Ataque à Ucrânia pode repetir caos global de 2017
Desde 2013, pouco antes da anexação da península da Crimeia pela Rússia, o grupo Gamaredon concentrou principalmente suas campanhas cibernéticas contra funcionários e organizações do governo ucraniano. Em 2017, a Unidade 42 publicou a primeira pesquisa documentando o kit de ferramentas do Gamaredon e nomeando o grupo. Ao longo dos anos, vários pesquisadores notaram que as operações e atividades de direcionamento desse grupo se alinham aos interesses russos. Esse link foi confirmado recentemente, em 4 de novembro de 2021, quando o Serviço de Segurança da Ucrânia (SSU) atribuiu a liderança do grupo a cinco oficiais do FSB designados para cargos na Crimeia.
Simultaneamente, a SSU também divulgou um relatório técnico atualizado documentando as ferramentas e ofícios empregados por este grupo. Segundo a equipe da Unidade 42 os operadores do Gamaredon seguem uma abordagem “interessante” quando se trata de construir e manter sua infraestrutura. “Eles optam por descartar domínios após seu uso em uma campanha cibernética para afastar a suspeita e a atribuição ao ataque. No entanto, a abordagem do grupo é única, pois ele parece reciclar seus domínios, alterando-os constantemente em novas infraestruturas. Um exemplo pode ser visto no domínio libre4[.]space.
A evidência de seu uso em uma campanha do Gamaredon foi sinalizada por um pesquisador em 2019. Desde então, a Cisco Talos e o Threatbook também atribuíram o domínio ao Gamaredon. Apesar da atribuição, o domínio continua a receber novos endereços de protocolo de IP diariamente.
