Le groupe de menaces persistantes avancées (APT) Gamaredon, que le Service de Sécurité Ukrainien (SSU) attribue au 18e Centre de sécurité de l’information du Service fédéral de sécurité russe (FSB), ne cesse d’affiner ses techniques d’attaque. Depuis au moins 2013, Gamaredon a ciblé avec persistance les institutions gouvernementales ukrainiennes, mais l’année 2024 marque un tournant, avec une concentration exclusive sur ces mêmes entités. Le récent rapport d’ESET Research met en lumière une augmentation spectaculaire de l’ampleur et de la fréquence de leurs campagnes de spearphishing, combinée à l’introduction de méthodes de diffusion et d’outils d’une sophistication accrue. L’objectif clair de Gamaredon reste le cyberespionnage, aligné sur les intérêts géopolitiques russes.
L’année dernière, le groupe a non seulement intensifié ses attaques mais a aussi diversifié ses approches. Un cas notable, inédit, fut l’utilisation d’une charge utile dédiée non pas à l’espionnage, mais à la diffusion de propagande russe. Cette dualité d’objectifs – espionnage et guerre informationnelle – représente une évolution significative dans la stratégie du groupe, soulignant une capacité d’adaptation et une volonté d’exploiter la cyber-guerre sur plusieurs fronts.
Innovations techniques : Furtivité, Persistance et Camouflage d’Infrastructure
Les analystes d’ESET ont identifié des avancées majeures dans l’arsenal de Gamaredon. Le groupe a déployé six nouveaux outils malveillants, majoritairement basés sur PowerShell et VBScript. Ces outils sont méticuleusement conçus pour optimiser la furtivité, la persistance sur les systèmes compromis et la réalisation de mouvements latéraux discrets et efficaces au sein des réseaux cibles. Ces développements témoignent d’un effort constant pour échapper aux solutions de détection traditionnelles.
Un aspect particulièrement innovant et préoccupant est la capacité de Gamaredon à masquer la quasi-totalité de son infrastructure de commande et contrôle (C&C) derrière des tunnels Cloudflare. Cette technique leur permet de rendre la traçabilité de leurs serveurs C&C extrêmement difficile, compliquant les efforts de riposte et d’attribution. Pour renforcer cette opacité, Gamaredon a également recours de plus en plus fréquemment à des services tiers légitimes tels que Telegram, Telegraph, Cloudflare et Dropbox pour héberger des éléments de leur infrastructure malveillante. Cette stratégie leur permet de se fondre dans le trafic réseau légitime, augmentant considérablement leur capacité à échapper à la détection.
Comme l’a souligné M. Zoltán Rusnák, chercheur chez ESET : « Gamaredon démontre une capacité d’innovation continue. Leurs campagnes de spearphishing agressives et leurs efforts constants pour échapper aux détections sont la marque d’un acteur majeur. Tant que le conflit se poursuivra, nous nous attendons à ce que Gamaredon continue d’adapter ses tactiques et d’intensifier ses opérations de cyberespionnage contre les institutions ukrainiennes. »
Évolution des Vecteurs d’Attaque et Découverte d’une Charge Utile de Propagande
Les campagnes de spearphishing de Gamaredon ont connu une intensification significative au cours du second semestre 2024, avec des cycles d’attaque s’étendant sur un à cinq jours consécutifs. Les courriels malveillants utilisaient des archives piégées (RAR, ZIP, 7z) ou des fichiers XHTML intégrant des techniques de contenu HTML. Ces fichiers servaient de vecteurs pour des fichiers HTA ou LNK malveillants, qui, une fois exécutés, activaient des téléchargeurs VBScript embarqués comme PteroSand.
Une observation inédite en octobre 2024 fut l’intégration directe d’hyperliens malveillants dans les courriels, rompant avec leur méthode habituelle de pièces jointes. De plus, Gamaredon a introduit une autre technique ingénieuse : l’utilisation de fichiers LNK malveillants pour exécuter des commandes PowerShell directement depuis des domaines générés par Cloudflare, contournant ainsi les filtres de sécurité basés sur les signatures de fichiers.
L’outillage de Gamaredon a fait l’objet de mises à jour majeures, avec un accent sur l’amélioration des outils existants plutôt que sur l’introduction massive de nouveaux. Ces améliorations incluent une obfuscation renforcée, des tactiques de furtivité améliorées et des méthodes plus sophistiquées pour les mouvements latéraux et l’exfiltration de données. Une découverte particulièrement fascinante en juillet 2024 fut une charge utile VBScript unique livrée par les téléchargeurs de Gamaredon. Cette charge utile n’avait aucune fonctionnalité d’espionnage classique ; son seul but était d’ouvrir automatiquement une chaîne de propagande Telegram nommée « Gardiens d’Odessa », diffusant des messages pro-russes ciblant la région d’Odessa. Cette révélation souligne l’approche hybride du groupe, mêlant cyberespionnage technique et opérations d’influence.
