Eksperter på nettsikkerhet med SBU Security Service of Ukraine har i fellesskap avdekket identiteten til hackerne. De kommer fra den velkjente ARMAGEDON-gruppen. Gruppen gjennomførte mer enn 5,000 cyberangrep mot ukrainske myndigheter og kritiske infrastrukturanlegg. Spesialister dokumenterte også enestående store forbrytelser fra hackergruppen.
Armageddon-gruppen var først og fremst rettet mot Ukraina
Myndighetene avslører ikke informasjon om angrepets gjenstander på grunn av de pågående etterforskningsrestriksjonene. I dette øyeblikk er fem medlemmer av gruppen siktet. De siktet for høyforræderi i henhold til art. 111 i Ukrainas straffelov.
ARMAGEDON hackergruppe distribuerte ondsinnet programvare under forkledning av offisiell elektronisk korrespondanse fra ukrainske myndigheter. Hackere drev massespyd-phishing på vegne av offentlige etater, fått ekstern tilgang til datamaskiner. Gruppen forberedte skadelig programvare og infiserte datasystemer (inkludert bærbar datalagring og mobile enheter).
I følge SBUs pressesenter er gruppen en del av sikkerhetstjenesten FSB. Gruppen opererte fra den okkuperte Krim. FSBs 18. senter (Informasjonssikkerhetssenter), basert i Moskva koordinerte hackerne. Hovedmålene til gruppen var å ta kontroll over den nasjonale kritiske infrastrukturen. Tyveri og innsamling av gradert informasjon, å gjennomføre informasjons- og psykologisk påvirkningsoperasjoner utgjorde også oppgavene.
Hovedformål med angrepene var å være offentlige myndigheter, nasjonal kritisk infrastruktur og kommersiell, industribedrifter. Det ukrainske sikkerhetsbyrået avslørte identiteten til de kriminelle, skaffet ubestridelige bevis for deres ulovlige aktivitet. Det inkluderte avlyttede telefonsamtaler.
Etterforskningen, inkludert rettsmedisinske undersøkelser, er i gang for å stille FSB-operatørene for retten på anklagene om spionasje, opprettelse av skadelig programvare eller maskinvare og uautorisert interferens med datasystemene.
Hovedetterretningsdirektoratet i Forsvarsdepartementet og SBU-avdelingen for cybersikkerhet deltok i etterforskningen. De opererte under prosedyreveiledning fra riksadvokatens kontor.
Hva er Armageddon hackergruppe?
"Armageddon"-gruppen er kjent mer bredt som Primitiv bjørn eller Gamareddon. De kriminelle blandet seg også inn i Hillary Clintons kampanje i forkant av 2016 valg og arbeidet til den demokratiske nasjonale komiteen. Ifølge en ukrainsk rapport gruppens opprinnelse går tilbake til 2013 eller 2014.
Ukrainske medier publiserte informasjon som inkluderer en 35-siders skriftlig analyse, en lysbildeserie og videoer som inneholder opptak av de påståtte russiske regjeringshackerne som diskuterer angrep i sanntid.
Forfatterne av rapporten delte levetiden til Armageddon-gruppen inn i to perioder fra 2014 til 2017, Og så 2017 til i dag. I løpet av de første årene brukte gruppen hovedsakelig offentlig tilgjengelig programvare, men etter 2017 det begynte å lage tilpasset skadelig programvare kalt Pteranodon/Pterodo, "som utvidet funksjonaliteten til gruppen mye."
