Logobild: Palo Alto Networks

Unit 42, das Forschungs- und Beratungsteam von Palo Alto Networks, geht davon aus, dass sich der parallel zum russischen Angriffskrieg gegen die Ukraine ausgetragene Cyberkonflikt in den nächsten Monaten markant weiterentwickeln wird. Die IT-Security-Forscher von Unit 42 haben die Aktivitäten der Hackergruppe Gamaredon bereits seit längerem beobachtet.

Seit 14. Januar 2022, also bereits mehrere Wochen vor dem Einmarsch Russlands in die Ukraine, machte sich der Konflikt verstärkt im Cyberbereich bemerkbar. An diesem Tag wurde die ukrainische Regierung mit zerstörerischer Malware (Whispergate) angegriffen und eine weitere Sicherheitslücke in OctoberCMS ausgenutzt, um mehrere Regierungswebsites zu kompromittieren. Die Zuordnung dieser Vorfälle ist noch nicht abgeschlossen und es gibt keine Verbindung zu Gamaredon (auch bekannt als Primitive Bear), einer der aktivsten anhaltenden Bedrohungen für die Ukraine.

Bereits seit 2013 jedoch, also kurz vor der Annexion der Halbinsel Krim durch Russland, hat die Gamaredon-Gruppe ihre Cyberkampagnen hauptsächlich gegen ukrainische Regierungsbeamte und -organisationen gerichtet. Im Jahr 2017 veröffentlichte Unit 42 eine erste Untersuchung, um das sich entwickelnde Tool-Kit von Gamaredon zu dokumentieren und der Gruppe einen Namen zu geben. Im Laufe der Jahre haben mehrere Forscher festgestellt, dass die Operationen und gezielten Aktivitäten dieser Gruppe mit russischen Interessen übereinstimmen. Diese Verbindung wurde zuletzt auch am 4. November 2021 bestätigt, als der ukrainische Sicherheitsdienst (SSU) die Führung der Gruppe öffentlich fünf russischen Offizieren des Föderalen Sicherheitsdienstes (FSB) zuschrieb, die auf der Krim tätig sind. Gleichzeitig veröffentlichte der SSU einen aktualisierten technischen Bericht, in dem die von dieser Gruppe eingesetzten Instrumente und Methoden dokumentiert sind.

In Anbetracht der aktuellen geopolitischen Lage und des spezifischen Zielfokus dieser APT-Gruppe überwachte Unit 42 seit Jahresbeginn weiterhin aktiv die Indikatoren für deren Operationen. Dabei haben die Forscher drei grosse Cluster ihrer Infrastruktur ausgemacht, die zur Unterstützung verschiedener Phishing- und Malware-Zwecke eingesetzt werden. Die Cluster sind mit über 700 bösartigen Domains, 215 IP-Adressen und über 100 Malware-Samples verbunden. Bei der Überwachung der Cluster hat Unit 42 einen Versuch beobachtet, am 19. Januar 2022 eine westliche Regierungseinrichtung in der Ukraine zu kompromittieren. Ausserdem haben die Forscher potenzielle Malware-Tests und die Wiederverwendung historischer Techniken unter Verwendung von Open-Source-Software für virtuelles Netzwerk-Computing (VNC) festgestellt. Die gewonnenen Erkenntnisse sollen sowohl den betroffenen Einrichtungen als auch den Cybersicherheitsunternehmen bei der Verteidigung gegen diese Bedrohungsgruppe helfen.

Update 16. Februar: Bei der ursprünglichen Veröffentlichung dieses Berichts haben die Forscher festgestellt, dass es zwar drei grosse Cluster mit derzeit aktiver Gamaredon-Infrastruktur gibt, sie aber von noch mehr unentdeckten Bereichen ausgehend sind. Inzwischen haben sie Hunderte weiterer Gamaredon-bezogener Domains entdeckt, darunter bekannte verwandte Cluster und auch neue. Deswegen hat Unit 42 seine Indikatoren für die Gefährdung (Indicators of Compromise, IoCs) aktualisiert, um diese zusätzlichen Domains und Cluster-Beobachtungen einzubeziehen.

Update 22. Juni: Wie bereits im Februar-Update erwähnt, überwacht und untersucht Unit 42 weiterhin die Gamaredon-Infrastruktur und -Malware. Am 22. Juni stellten die Forscher ein weiteres Update ihrer Gamaredon IoCs zur Verfügung, das die Infrastrukturen auflistet, die sie seit dem letzten Update beobachtet haben. Eine vollständige Visualisierung der beobachteten Techniken, der relevanten Vorgehensweisen und IoCs (Indicators of Compromise) im Zusammenhang mit diesem Gamaredon-Bericht finden sich im ATOM-Viewer von Unit 42.

Schlussfolgerung:
Gamaredon hat es seit fast einem Jahrzehnt auf ukrainische Ziele abgesehen. Da sich der Krieg in der Ukraine fortsetzt, werden sich die Operationen von Gamaredon wahrscheinlich weiterhin auf russische Interessen in der Region konzentrieren. Dieser Blog unterstreicht, wie wichtig die Erforschung der gegnerischen Infrastruktur und Malware sowie die Zusammenarbeit in der Community sind, um Cyberbedrohungen durch staatliche Stellen zu erkennen und abzuwehren. Unit 42 beobachtet werde die Entwicklung der Lage in der Ukraine weiterhin aufmerksam beobachten und aktiv nach Indikatoren suchen, um Kunden überall auf der Welt schützen zu können, so das US-Unternehmen. Palo Alto Networks ermutige alle Unternehmen und Institutionen, diese Forschungsergebnisse zu nutzen, um nach dieser Bedrohung zu suchen und sich dagegen zu schützen.