Infractorii cibernetici care au vizat Ucraina sunt de fapt hackeri ai guvernului rus, afirmă cercetătorii
(Getty Images)
De ani de zile, hackerii guvernamentali ruşi au folosit mai multe personaje inventate pentru a-şi ascunde urmele şi pentru a încerca să păcălească cercetătorii în domeniul securităţii şi agenţiile guvernamentale, determinându-i să arunce vina în direcţia greşită.
Potrivit unui articol publicat de Tech Crunch, aceştia au pretins că ar fi vorba de un hacktivist român singuratic numit Guccifer 2. 0 atunci când au spart Comitetul Naţional Democrat; au lansat un malware distructiv conceput să pară un ransomware obişnuit; s-au ascuns în serverele folosite de un grup de hackeri iranieni; au pretins că sunt un grup de hackeri islamişti numit Cyber Caliphate; au spart Jocurile Olimpice de Iarnă din 2018 lăsând indicii care arătau spre Coreea de Nord şi China; şi au strecurat dovezi false în documente publicate ca o operaţiune de hacking şi scurgere de informaţii presupus a fi fost efectuată de un grup de hackeri numit Cyber Berkut.
Acum, cercetătorii în domeniul securităţii susţin că au descoperit un nou steag fals al guvernului rus.
Potrivit cercetătorilor în domeniul securităţii de la BlackBerry, grupul de criminalitate cibernetică numit Cuba Ransomware, care a fost legat anterior de o tulpină malware cunoscută sub numele de RomCom RAT, nu este deloc un grup de criminalitate cibernetică. Este de fapt un grup care lucrează pentru guvernul rus şi care vizează unităţi militare ucrainene şi guverne locale, au declarat cercetătorii.
"Este o atribuţie înşelătoare. Se pare că este doar o altă unitate care lucrează pentru guvernul rus", a declarat Dimitri Bestuzhev, director senior al echipei de informaţii privind ameninţările cibernetice de la BlackBerry, referindu-se la legăturile dintre RomCom RAT şi Cuba.
Ambasada Rusiei la Washington D.C. nu a răspuns la o solicitare de comentarii.
RomCom RAT este un troian de acces de la distanţă descoperit pentru prima dată de Unit 42, grupul de cercetare în domeniul securităţii Palo Alto Networks, în mai 2022. Cercetătorii de securitate ai companiei au legat malware-ul de banda Cuba, care a folosit ransomware împotriva unor ţinte din sectoarele "serviciilor financiare, facilităţilor guvernamentale, asistenţei medicale şi sănătăţii publice, producţiei critice şi tehnologiei informaţiei", potrivit Agenţiei americane pentru Securitate Cibernetică şi Securitatea Infrastructurii (CISA).
Numele provine chiar de la grup, care a folosit ilustraţii ale lui Fidel Castro şi Che Guevara pe dark web, deşi niciun cercetător nu a găsit vreodată vreo dovadă că grupul are vreo legătură cu naţiunea insulară.
Se pare că RomCom RAT a folosit versiuni false ale unor aplicaţii populare pentru a-şi viza victimele, cum ar fi managerul de parole KeePass, instrumentul de administrare IT SolarWinds, Advanced IP Scanner şi Adobe Acrobat Reader. În ultimele câteva luni, potrivit lui Bestuzhev şi colegilor săi, RomCom RAT a vizat, de asemenea, unităţi militare ucrainene, agenţii guvernamentale locale şi Parlamentul ucrainean.
Concluzia lor nu se bazează doar pe ţinte, ci şi pe calendarul operaţiunilor hackerilor, a explicat Bestuzhev.
Echipa sa a urmărit grupul un an, iar în cadrul investigaţiei lor, cercetătorii au observat că hackerii au folosit diferite certificate digitale pentru a înregistra domeniile false pe care le foloseau pentru a implanta programe malware pe ţinte.
Într-unul dintre cazuri, cercetătorii au văzut cum hackerii au creat un certificat digital care prezenta Austria, pentru a semna un site web capcană pe 23 martie, cu o săptămână înainte ca preşedintele Ucrainei, Volodimir Zelenski, să se adreseze Parlamentului austriac prin apel video.
Acelaşi tipar s-a întâmplat şi în alte ocazii. Atunci când hackerii RomCom RAT au imitat un site web al SolarWinds în noiembrie 2022, a fost în jurul momentului în care forţele ucrainene au intrat în oraşul asediat Herson. Când hackerii au imitat Advanced IP Scanner în iulie 2022, a fost chiar în momentul în care Ucraina a început să desfăşoare rachete HIMARS furnizate de guvernul american. Apoi, în martie 2023, hackerii au imitat Remote Desktop Manager în perioada în care piloţii ucraineni erau instruiţi să piloteze avioane de luptă F-16, iar Polonia şi Slovacia au decis să furnizeze Ucrainei tehnică militară.
"Astfel, de fiecare dată când se întâmpla un eveniment major, cum ar fi ceva important în geopolitică şi, în special, în domeniul militar, RomCom RAT era acolo, chiar acolo", a declarat Bestuzhev.
Cu toate acestea, alţi cercetători în domeniul securităţii, precum şi Guvernul ucrainean, nu sunt încă pe deplin convinşi că RomCom RAT şi Cuba Ransomware sunt de fapt hackeri ai guvernului rus.
Doel Santos, cercetător principal la Unit 42 de la Palo Alto Networks, a declarat că grupul din spatele malware-ului RomCom RAT este "mai sofisticat decât grupurile tradiţionale de ransomware", pentru că foloseşte instrumente personalizate.
"Unit 42 a văzut activitatea care vizează Ucraina. Există un unghi de spionaj în acest caz şi, din acest motiv, ar putea primi indicaţii de la un stat naţional. Cu toate acestea, nu ştim care este amploarea acestei relaţii. Iese din activităţile normale ale unui grup de ransomware", a declarat Santos, pentru TechCrunch.
Cu toate acestea, a adăugat Santos, "unele grupuri lucrează la negru pentru a obţine muncă suplimentară - s-ar putea să fie ceea ce vedem în acest caz".
Bestuzhev a menţionat că el şi echipa sa au luat în considerare această posibilitate, dar au exclus-o pe baza persistenţei hackerilor, a momentului şi a ţintelor atacurilor, care indică faptul că scopul lor real este spionajul şi nu crima.
Un purtător de cuvânt al Serviciului de Stat pentru Comunicaţii Speciale şi Protecţia Informaţiilor din Ucraina (SSSCIP) a declarat că una dintre operaţiunile RomCom RAT din Ucraina a vizat utilizatorii unui software specific de cunoaştere a situaţiei numit DELTA, iar "conform ţintei şi malware-ului utilizat, se poate presupune că scopul a fost colectarea de informaţii de la armata ucraineană".
"Dar nu există suficiente dovezi pentru a face legătura cu Rusia (cu excepţia faptului că Rusia este guvernul cel mai interesat de acest tip de informaţii)", a adăugat un purtător de cuvânt al SSSCIP.
Mark Karayan, purtător de cuvânt al echipelor Google de informaţii despre ameninţări care au urmărit grupul de hackeri, a declarat că "echipa noastră nu poate confirma sau infirma cu încredere aceste constatări fără a vedea cercetarea completă [a BlackBerry]".
Bestuzhev a declarat că grupul său nu intenţionează să publice toate detaliile tehnice ale descoperirilor sale, în încercarea de a nu le da indicii hackerilor RomCom RAT şi de a-i împiedica să îşi schimbe strategiile şi tehnicile. În acest fel, a explicat Bestuzhev, ei pot continua să urmărească hackerii şi să vadă ce vor face în continuare.
Juriul încă nu a stabilit cine se află cu adevărat în spatele RomCom RAT şi Cuba Ransomware, dar Bestuzhev şi cercetătorii de la alte companii vor continua să urmărească grupul.
"Tipii ăia, să spunem, ştiu că noi ştim. Ne iubim unii pe alţii. Şi astfel este ca o relaţie pe termen lung", a declarat Bestuzhev, râzând.
