Ukraina knytter hackergruppe til FSB og navngir fem avhoppere

Etterretningstjenesten gir ut teknisk rapport – samt et sjeldent lydopptak av det som skal være hackerne i aksjon.

Tilhengere feirer at det er syv år siden Russland annekterte Krim den 18. mars 2021. Noen hyller president Putin ved å hale opp et portrett av ham med ballong i byen Sevastopol. Illustrasjonsfoto: AP / NTB

Del

Kommenter

Marius B. JørgenrudJournalist

5. nov. 2021 - 17:00

Ukrainas etterretningstjeneste (SBU) sier de har identifisert fem medlemmer av en statlig sponset hackergruppe kalt Gamaredon (Armageddon), som de knytter direkte til den russiske sikkerhetstjenesten FSB.

Hackerne blir anklaget for å stå bak mer enn 5.000 cyberangrep mot myndigheter og kritisk infrastruktur i Ukraina, blant annet med mål om å ta over kraftverk og vannforsyning, viser kunngjøringen.

Alle fem blir navngitt som etterretningsoffiserer i FSB stasjonert ved havnebyen Sevastopol på Krimhalvøya. SBU kaller dem landsforrædere og avhoppere etter den russiske annekteringen i 2014.

Spores til 2013-14

Gamaredon skal være en APT-gruppering (Advanced Persistent Threat) som har holdt det gående siden invaderingen av Krim, eller kanskje noe lenger. Enkelte kilder på internett indikerer at de kan ha begynt sine operasjoner allerede i juni 2013, mener den ukrainske etterretningstjenesten.

Det var i februar 2014 at tusener av maskerte og bevæpnede russiske soldater invaderte og tok kontroll over offentlige bygninger og flyplassen på Krim.

Ukraina identifiserer fem medlemmer av en APT-gruppe, som går under navn som blant annet Gamaredon, Armageddon og Primitive Bear. <i>Illustrasjon: SBU</i>

Ukraina identifiserer fem medlemmer av en APT-gruppe, som går under navn som blant annet Gamaredon, Armageddon og Primitive Bear. Illustrasjon: SBU

BSU lanserte i går en egen 35-siders teknisk rapport (PDF) som går nærmere inn på trusselgrupperingens metoder, teknikker og taktikk, som garantert vil bli studert av en rekke sikkerhetsmiljøer.

Målrettede phishingangrep for å lure mottakere til å åpne skadevare har hele veien vært hackernes primære angrepsvektor, ifølge rapporten. Den nevner også bruk av USB-minnepinner for å distribuere skadevare som et viktig verktøy.

Lydopptak

SBU hevder å ha «ugjendrivelige bevis» på de fem personenes involvering i hackerangrepene mot Ukraina.

Artikkelen fortsetter etter annonsen

annonsørinnhold

IKT Agder: – Vi har spart mye saksbehandlingstid med Pureservice

Det blir oppgitt at bevisene stammer fra avlytting, eller kommunikasjon de har avskåret, inkludert også et lydopptak av det som skal være noen av de navngitte, identifiserte hackerne i aksjon.

Etterretningen oppgir at bevisene og opptakene stammer fra avlytting av kommunikasjonen, som de skryter av å ha lyktes med på tross av at hackerne «brukte FSBs egne ondsinnede programvare og verktøy» for å opptre anonymt og i det skjulte.

Det blir også opplyst at etterforskning pågår med mål om å sikte de mistenkte, blant annet for spionasje, innbrudd eller ulovlig tukling med datasystemer og automatiserte systemer, utvikling av skadevare med mer.