ESET Research décrypte les activités du groupe APT Gamaredon qui cible l’Ukraine et des pays de l’OTAN
septembre 2024 par ESET
Les chercheurs d’ESET ont analysé les récentes activités de Gamaredon, un groupe APT affilié à la Russie, opérationnel depuis 2013 et particulièrement actif en Ukraine. Le Service de Sécurité Ukrainien (SSU) a attribué ce groupe au groupe « Centre 18 » du FSB, basé en Crimée occupée. ESET soupçonne une collaboration entre Gamaredon et InvisiMole, un autre acteur malveillant identifié par ESET Research. Bien que les opérations de cyberespionnage de Gamaredon ciblent principalement les institutions gouvernementales ukrainiennes, ESET a détecté des tentatives d’intrusion dans plusieurs pays de l’OTAN en avril 2022 et février 2023, notamment en Bulgarie, Lettonie, Lituanie et Pologne, sans toutefois constater de compromission réussie.
Gamaredon se distingue par l’utilisation de techniques d’obfuscation en constante évolution et de nombreuses méthodes visant à contourner les blocages basés sur les domaines. Ces tactiques complexifient considérablement la détection et le blocage automatisés des outils du groupe. Malgré ces défis, les chercheurs d’ESET ont réussi à identifier et à comprendre ces techniques, permettant ainsi un suivi efficace des activités de Gamaredon. Le groupe a déployé méthodiquement son arsenal malveillant contre ses cibles bien avant l’invasion de 2022. Pour compromettre de nouvelles victimes, Gamaredon orchestre des campagnes de spear-phishing, puis exploite ses malwares personnalisés pour infecter des documents Word et des clés USB appartenant à la victime initiale, dans l’espoir d’une propagation vers d’autres cibles potentielles.
Au cours de l’année 2023, Gamaredon a significativement renforcé ses capacités de cyberespionnage en développant plusieurs nouveaux outils en PowerShell. Ces outils se concentrent sur l’exfiltration de données sensibles provenant de clients de messagerie, d’applications de messagerie instantanée telles que Signal et Telegram, ainsi que d’applications Web exécutées dans les navigateurs Internet. ESET a également découvert en août 2023 PteroBleed, un infostealer spécifiquement conçu pour cibler les données liées à un système militaire ukrainien et au service de messagerie Web utilisé par une institution gouvernementale ukrainienne.
« Contrairement à la majorité des groupes APT qui privilégient la furtivité et la persistance à long terme en utilisant des techniques de pointe, Gamaredon adopte une approche plus audacieuse dans ses opérations de cyberespionnage », explique Zoltán Rusnák, chercheur chez ESET spécialisé dans l’analyse de Gamaredon. « Les opérateurs semblent peu préoccupés par la détection de leurs activités par les défenseurs. Néanmoins, ils déploient des efforts considérables pour contourner les solutions de sécurité et maintenir leur accès aux systèmes compromis. La tactique de Gamaredon repose sur le déploiement simultané de téléchargeurs et backdoors pour assurer leur persistance. Bien que leurs outils manquent de sophistication, le groupe compense cette faiblesse par des mises à jour fréquentes et l’utilisation de techniques d’obfuscation en constante évolution. Malgré l’apparente simplicité de son arsenal, l’agressivité et la ténacité de Gamaredon en font une menace sérieuse. Compte tenu du contexte géopolitique actuel, nous anticipons que Gamaredon continuera de concentrer ses efforts sur l’Ukraine. » conclut Rusnák.