Um grupo misterioso tem ligações com 15 anos de hacks Ucrânia-Rússia

empresa de segurança russa A Kaspersky divulgou hoje uma nova pesquisa que adiciona outra peça ao quebra-cabeça de um grupo de hackers cujas operações parecem ir mais longe do que os pesquisadores imaginavam anteriormente.

A pesquisa publicada na semana passada pela empresa de segurança Malwarebytes lançou uma nova luz sobre um grupo de hackers, Red Stinger, que vem realizando operações de espionagem contra vítimas pró-Ucrânia na Ucrânia central e vítimas pró-Rússia no leste da Ucrânia. As descobertas foram intrigantes devido à mistura ideológica dos alvos e à falta de conexões com outros grupos de hackers conhecidos. Algumas semanas antes da Malwarebytes divulgar seu relatório, a Kaspersky também publicou uma pesquisa sobre o grupo, que chama de Bad Magic, e concluiu da mesma forma que o malware usado nos ataques não tinha conexões com nenhuma outra ferramenta de hacking conhecida. A pesquisa que a Kaspersky divulgou hoje finalmente vincula o grupo a atividades passadas e fornece algum contexto preliminar para entender as possíveis motivações dos invasores.

Adicionando a pesquisa do Malwarebytes ao que eles encontraram de forma independente, os pesquisadores da Kaspersky revisaram os dados históricos de telemetria para procurar conexões. Eventualmente, eles descobriram que parte da infraestrutura de nuvem e malware que o grupo estava usando tinham semelhanças com campanhas de espionagem na Ucrânia que a empresa de segurança ESET identificou em 2016, bem como campanhas que a empresa CyberX descobriu em 2017.

“O Malwarebytes descobriu mais sobre o estágio inicial da infecção e, em seguida, descobriu mais sobre o instalador” usado em alguns dos ataques do grupo desde 2020, diz Georgy Kucherin, pesquisador de malware da Kaspersky. “Depois de publicar nosso relatório sobre o malware, decidimos visualizar dados históricos sobre campanhas semelhantes que têm alvos semelhantes e que ocorreram no passado. Foi assim que descobrimos as duas campanhas semelhantes da ESET e da CyberX e concluímos com confiança média a alta que as campanhas estão interligadas e todas provavelmente serão executadas pelo mesmo ator.”

A atividade diferente ao longo do tempo tem vitimologia semelhante, o que significa que o grupo se concentrou nos mesmos tipos de alvos, incluindo funcionários que trabalham para facções pró-Rússia na Ucrânia e funcionários, políticos e instituições do governo ucraniano. Kucherin também observa que ele e seus colegas encontraram semelhanças e várias sobreposições no código dos plugins usados ​​pelo malware do grupo. Alguns códigos até pareciam ser copiados e colados de uma campanha para outra. E os pesquisadores viram uso semelhante de armazenamento em nuvem e formatos de arquivo característicos nos arquivos que o grupo exportou para seus servidores.

A pesquisa da Malwarebytes publicada na semana passada documentou cinco campanhas desde 2020 pelo grupo de hackers, incluindo uma que visava um membro do exército ucraniano que trabalha na infraestrutura crítica ucraniana. Outra campanha teve como alvo funcionários eleitorais pró-Rússia no leste da Ucrânia, um conselheiro da Comissão Eleitoral Central da Rússia e um que trabalha com transporte na região.

Em 2016, a ESET escreveu sobre a atividade que chamou de “Operação Groundbait”: “O ponto principal que diferencia a Operação Groundbait dos outros ataques é que ela tem como alvo principalmente separatistas antigovernamentais nas autodeclaradas Repúblicas Populares de Donetsk e Luhansk. . Embora os atacantes pareçam estar mais interessados ​​nos separatistas e nos governos autodeclarados nas zonas de guerra do leste ucraniano, também houve um grande número de outros alvos, incluindo, entre outros, funcionários do governo ucraniano, políticos e jornalistas”.