Advertentie
De oorlog tussen Oekraïne en Rusland verschilt op vrijwel elk vlak van eerdere conflicten. Technologie speelt tegenwoordig een centrale rol, of het nu gaat om drones of digitale aanvallen. Een van de beruchtste groepen die zich met digitale oorlogsvoering bezighoudt is Gamaredon – een groep waarvan wordt vermoed dat ze banden heeft met de Russische federale veiligheidsdiensten (FSB), hoewel de cybersecuritygemeenschap daar nog geen 100% zekerheid over heeft.
De Europese cybersecurity-aanbieder HarfangLab heeft nu een nieuwe cyberspionagecampagne van Gamaredon blootgelegd. Deze campagne is gericht op Oekraïense militaire en overheidsinstellingen en maakt gebruik van een nieuwe malwarevariant genaamd PteroLNK. HarfangLab heeft hierover een gedetailleerde analyse gepubliceerd, bedoeld om ook kleinere organisaties te helpen zich hiertegen te beschermen.
Snelle verspreiding, geen geavanceerde code
Hoewel de technieken van Gamaredon niet als bijzonder geavanceerd worden beschouwd, ligt hun kracht in snelheid en flexibiliteit. De groep staat bekend om razendsnelle updates, zwaar versleutelde malware, en een constant wisselende infrastructuur, waardoor detectie lastig is.
Volgens Ariel Jungheit, hoofdonderzoeker bij HarfangLab, is het vooral de frequentie en wendbaarheid van de aanvallen die de malware effectief maakt. “Gamaredon speelt continu in op veranderingen in hun omgeving. Dat maakt ze moeilijk te stoppen,” aldus Jungheit.
Wat is PteroLNK?
De huidige campagne, die eind 2024 begon, is gebaseerd op een geüpdatete versie van de eerder gebruikte Pterodo-malwaretoolkit. De nieuwe variant, PteroLNK, verspreidt zich via USB-sticks en gedeelde netwerken, door legitieme bestanden te vervangen met geïnfecteerde snelkoppelingen (.lnk-bestanden). Eenmaal actief, kan de malware zich razendsnel binnen een netwerk verspreiden en extra kwaadaardige software downloaden en installeren.
Europese dreiging? Voor nu niet, maar waakzaamheid is geboden
Tot nu toe zijn er geen aanwijzingen dat deze campagne zich richt op Europese doelwitten. Toch waarschuwt HarfangLab dat Gamaredon in het verleden ook actief is geweest in buurlanden van Oekraïne, zoals Moldavië en Polen.
Om die reden heeft het bedrijf ervoor gekozen om de volledige technische analyse openbaar te maken, inclusief Indicators of Compromise (IoCs). Hiermee kunnen ook kleinere organisaties hun verdediging aanscherpen. HarfangLab pleit voor meer samenwerking en transparantie in de strijd tegen dit soort dreigingen.
Een zorgwekkend detail uit het rapport: slechts 6 van de 61 virusscanners detecteren de nieuwe malware op dit moment. Er is dus nog een flinke slag te slaan op het gebied van detectie en preventie.