Oekraïense organisaties, overheidsinstanties, ngo's, het leger en opsporingsdiensten zijn de afgelopen zes maanden het doelwit geworden van phishingaanvallen door een groep die vanuit de Krim opereert, zo stelt Microsoft. Volgens de Oekraïense overheid gaat het om de Russische geheime dienst FSB.

Microsoft noemt de groep Actinium, die ook bekendstaat als Gamaredon, en stelt dat die al bijna tien jaar actief is. De groep heeft het vooral voorzien op Oekraïense organisaties of entiteiten die zich met Oekraïense zaken bezighouden. Sinds oktober vorig jaar voert de groep phishingaanvallen uit op accounts van organisaties die een kritieke rol spelen bij noodsituaties op en de veiligheid van het Oekraïense grondgebied, alsmede organisaties die in het geval van een crisis internationale en humanitaire hulp aan Oekraïne komen verlenen.

Bij de aanvallen verstuurt de groep e-mails die van betrouwbare organisaties afkomstig lijken, zoals de Wereldgezondheidsorganisatie. Als bijlage is een Microsoft Office-document toegevoegd dat een kwaadaardige macro bevat. Wanneer de ontvanger van het bericht de macro inschakelt wordt er malware op het systeem gedownload. Eenmaal besmet proberen de aanvallers zich via het gecompromitteerde systeem lateraal door de organisatie te bewegen, toegang tot systemen te behouden en vertrouwelijke gegevens te stelen.

Microsoft zegt dat het informatie over de groep en waargenomen aanvallen met de Oekraïense autoriteiten heeft gedeeld. Naast een beschrijving van de werkwijze van de groep geeft het techbedrijf in deze analyse ook verschillende indicators of compromise gedeeld, zoals hashes en domeinnamen, waarmee organisaties kunnen kijken of ze mogelijk doelwit zijn geworden.