Включно з розподіленими атаками на відмову в обслуговуванні (DDoS), дефейсами та спробами деструктивної діяльності, які приписуються суб’єктам, що спонсоруються Кремлем, аналітики IBM зібрали докази, які свідчать про те, що російська кіберзлочинна група Trickbot (відома як Wizard Spider, DEV-0193, ITG23) систематично атакувала Україну з початку російського вторгнення в країну, керувалася та діяла безпосередньо в інтересах Росії.
З середини квітня до середини червня 2022 року група Trickbot провела щонайменше шість кіберкампаній проти організацій в Україні. Зловмисники розгорнули кілька шкідливих програм IcedID, CobaltStrike, AnchorMail і Meterpreter. До російського вторгнення банда Trickbot не націлювалася на Україну, а зловмисне програмне забезпечення, яке використовувало угруповання, було налаштовано таким чином, щоб не працювати на системах, які використовують українську мову. Систематичні атаки, які спостерігаються проти України, включають зареєстровані та ймовірні фішингові атаки проти органів державної влади України, українських громадян і організацій, а також населення в цілому.
Чотири з цих кіберкампаній були розкриті українською урядовою командою реагування на комп’ютерні надзвичайні події CERT-UA, який відстежує їх під назвою групи UAC-0098.
Експертами компанії у сфері аналізу ризиків кібербезпеки та інсайдерських загроз в приватному та державному секторах виявлено дві кіберкампанії спямованих проти цілей в Україні.
В результаті аналізу отриманих даних встановлено, що кіберзлочинна група ITG23 самостійно контролює доставку електронних листів і зловмисного програмного забезпечення, тобто вони не виконуються незалежними філіями з розповсюдження. Жодна з цих кіберкампаній не сумісна з методами, які використовують відомі сторонні філії ITG23 для доставки корисних даних своїм цілям.
Також експерти виявили кілька нових шкідливих програм і інструментів та встановили ряд особливостей кіберкампаній, які проводилися безпосередньо персоналом ITG23 під керівництвом Росії:
- в трьох із шести кіберкампаній використовується шкідливий завантажувач Excel, який використовується для завантаження корисних даних, якого не було в інших кіберкампаніях;
- дві кампанії використовують файли зображень ISO для розподілу корисних даних; ці файли ISO, ймовірно, створено фірмовим конструктором ISO, який забезпечував попередні кампанії, що доставляють корисні навантаження ITG23;
- п’ять із шести кіберкампаній безпосередньо завантажують CobaltStrike, Meterpreter або AnchorMail на цільову машину. Як правило, ці корисні дані завантажуються пізніше під час зараження, що починається зловмисним програмним забезпеченням, таким як Trickbot, Emotet або IcedID (що свідчить про те, що ці атаки є частиною цільових кіберкампаній, під час яких ITG23 готовий негайно розгорнути бекдори з більшою ціною);
- корисні навантаження CobaltStrike та IcedID, які використовувалися в чотирьох із шести кіберкампаній, використовують криптери ITG23 Tron, Hexa або Forest (наявність шифрувальника ITG23 із зразком є переконливим свідченням того, що його розробник, дистриб’ютор або оператор може бути частиною ITG23 або мати партнерство з групою).
Отже, можна очікувати подальше зростання активності кібергруп пов’язаних із Росією, ведення ними злочинної діяльності у більш широкому масштабі, а також зростання ризику загрози для фінансового сектору.