Den danske cybersikkerhedsvirksomhed Logpoint har undersøgt den russiske gruppe Gamaredon, som ifølge den ukrainske CERT aktivt udvikler sin angrebsindsats og har skiftet fokus fra ødelæggende angreb til spionage.

Gamaredon er også kendt under navnene UAC-0010, Primitive Bear, BlueAlpha, ACTINIUM og Trident Ursa. Efter sigende opererer gruppen ud af Sevastopol i Krim og følger instrukser fra FSB's Center for Informationssikkerhed i Moskva.

- Gamaredon har udført flere cyberangreb mod Ukraine, siden gruppen opstod i juni 2013 et par måneder før Rusland annekterede Krimhalvøen. Vi har på det sidste set et væsentligt temposkift i deres aktivitetsniveau, og gruppen er den mest aktive, påtrængende og vidt forgrenede APT, siger Doron Dvidson, Logpoint VP Global Services.

- Vi overvåger situationen tæt og holder os opdaterede på aktuelle trusselsefterretninger med henblik på at afdække forsvarsmetoder, der minimerer truslen fra Garamedon.

Ukraines State Service of Special Communication & Information Protection meddeler, at Gamaredon er mere interesseret i spionage end ødelæggende cyberangreb. De bruger i stigende grad spywaren GammaLoad og GammaSteal. Disse malware-varianter er skræddersyede til at eksfiltrere specifikke data, stjæle loginoplysninger og tage screenshots af ofres computere.

Logpoints undersøgelse af GammaLoad og GammaSteal viser, at malware-varianterne leveres via spear-phishing-emails fra kompromitterede medarbejdere. Malwaren leveres enten som HTML-fil, Office-dokument eller på et phishing-website. Malwaren er designet til at angribe alle Windows-, Linux- og Android-styresystemer.

- Det er altid vigtigt at opdage et angreb, før det slår rod i systemerne, siger Doron Davidson.

- Med Gamaredon og andre APT’er er det ikke nok at følge de gængse råd om cyberhygiejne. Organisationer er nødt til at monitorere deres it-infrastruktur aktivt efter kendte indikatorer på kompromittering og have en Incident Response-plan klar for kunne opdage og reagerer effektivt på truslen.