Oddělení kybernetické bezpečnosti Služby bezpečnosti Ukrajiny (SSU) a ukrajinské tajné služby identifikovaly pět členů hackerské skupiny Armagedon, která je známá tím, že se od roku 2014 zaměřuje na Ukrajinu. Ze zjištění plyne, že skupina je napojená na ruskou Federální službu bezpečnosti (FSB), a od zahájení operací je pravděpodobně zodpovědná za více než 5 000 útoků na veřejné orgány a kritickou infrastrukturu Ukrajiny.
Vyšetřovatelé zdůrazňují, že se jim hackery podařilo identifikovat, přestože používali anonymizační nástroje a obecně velmi pečlivě skrývali své digitální stopy. Pět podezřelých, jejichž jména SSU zveřejnila, mělo pracovat pod vedením 18. centra informační bezpečnosti FSB v Moskvě. Všichni byli důstojníky krymské FSB, nicméně během okupace poloostrova v roce 2014 se postavili na stranu Ruska.
Rusko versus Ukrajina
Ukrajinské úřady obviňují pětici z vlastizrady, špionáže, neoprávněného zasahování do činnosti elektronických počítačů a šíření a používání škodlivého softwaru. SSU se podařilo identifikovat jména pachatelů, zachytit jejich komunikaci a získat nezvratné důkazy o jejich zapojení do útoků. Přestože podezřelí nebyli zatčeni, SSU považuje jejich odhalení za účinné neutralizační opatření.
SSU zveřejnila technickou zprávu o činnosti skupiny Armagedon, ve které uvádí několik klíčových bodů týkajících se jejích nástrojů a taktiky. Zmiňuje, že hackeři používali ke kompromitaci systémů makra v aplikaci Outlook a nasazovali backdoor označovaný jako EvilGnome. Zneužívali také zranitelnost WinRAR CVE-2018-20250, která existuje téměř dvě desetiletí, a CVE-2017-0199 v MS Office, jež dovolovala vzdálené spuštění kódu.
Zpráva dále zmiňuje, že útočníci k infiltraci malwaru do offline systémů používali vyměnitelná média. V závěru je pak podrobně popsán nový malwarový nástroj s názvem „Pteranodon“, což je modulární trojský kůň pro vzdálenou správu (RAT) s výkonnými mechanismy znesnadňujícími jeho analýzu. Podle SSU byl Pteranodon odvozen od Pteroda – široce dostupného malwaru, který od roku 2016 koluje po ruských hackerských fórech.
Od anexe Krymu Ruskou federací v roce 2014 provedla hackerská jednotka více než pět tisíc kybernetických útoků a pokusila se infikovat přes 1 500 vládních počítačových systémů. Cíle útočníků byly následující:
- kontrola nad zařízeními kritické infrastruktury (elektrárny, systémy zásobování teplem a vodou);
- krádeže a shromažďování zpravodajských informací, včetně informací s omezeným přístupem (týkajících se bezpečnostního a obranného sektoru, vládních agentur);
- informační a psychologické ovlivňování;
- blokování informačních systémů.